Onderzoekers hebben een polymorfe USB-worm ontdekt die zich via de Autorun-functie van Windows verspreidt. De malware belandt op computers via e-mailbijlagen, drive-by downloads of wordt door al aanwezige malware op de computer gedownload. Eenmaal actief voegt het op alle aangesloten USB-apparaten en gedeelde netwerkschijven een Autorun.inf bestand toe

Ook plaatst het een icoontje van een map om mensen tot klikken te verleiden, terwijl het in werkelijkheid om een uitvoerbaar bestand gaat. Verder kan de malware ook ZIP- en RAR-bestanden infecteren en is geschreven in Visual Basic 6. Volgens McAfee is er recentelijk een toename van het aantal exemplaren waargenomen.

Code
De eigenschappen van de worm zijn niet uniek en worden ook door andere families gedeeld. De worm onderscheidt zich door de gebruikte obfuscatie en polymorfisme. De worm verpakt zich in open source Visual Basic 6 projecten die het online vindt, om zo detectie en analyse te bemoeilijken.

De malware is al meer dan een jaar actief, maar heeft zich in die tijd verder ontwikkeld. Zo wordt er nu encryptie toegepast, polymorfe code gebruikt en kan de worm herkennen of die in een Virtual Machine wordt uitgevoerd.

Sommige onderzoekers gebruiken Virtual Machines om malware te analyseren. Is de infectie succesvol, dan downloadt de worm andere malware-families, zoals Zbot, aldus Sanchit Karve van McAfee.