Начинается эпидемия нового сетевого червя. По информации экспертов "Лаборатории Касперского", на настоящий момент заражению подверглось несколько десятков тысяч компьютеров по всему миру. Их число продолжает постоянно увеличиваться. Вредоносная программа распространяется через электронную почту, сеть файлообмена Kazaa и каналы IRC.

Зараженные письма могут иметь в качестве отправителя различные службы компании Microsoft, например MS Technical Assistance, Microsoft Internet Security Section и т.д. Текст письма призывает пользователя установить "специальный патч к Microsoft", который прилагается в вложении. Как и многие нашумевшие "предшественники", в частности, вредоносная программа Klez, для своего распространения червь использует брешь в системе безопасности Internet Explorer, обнаруженную в марте 2001 года. Попав на незащищенную машину, Swen может запускаться на выполнение самостоятельно, без участия пользователя.

Новая вредоносная программа написана на языке Microsoft Visual C++, и имеет размер около 107К. Активизация червя происходит в двух случаях: при запуске зараженного файла пользователем либо если почтовая программа содержит уязвимость IFrame.FileDownload. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

При первом запуске червь может выводить на экран окно с заголовком "Microsoft Internet Update Pack" и имитировать установку патча. При этом вредоносный код блокирует работу различных антивирусных программ и файрволлов. Затем I-Worm.Swen сканирует файловую систему пораженного компьютера, извлекает из файлов адреса электронной почты и рассылает себя по всем найденным адресам, используя прямое подключение к SMTP-серверу. Зараженные письма имеют формат HTML и содержат вложенный файл, содержащий червя. В некоторых случаях червь может отсылать свои копии в заархивированном виде (zip или rar).

Размножаясь через систему файлообмена Kazaa, червь копирует себя под различными именами в каталог файлообмена программы Kazaa Lite, а также создает во временном каталоге Windows подкаталог с произвольным названием и копирует туда несколько своих копий, также с различными именами. Данный каталог указывается в системном реестре Windows как источник для системы файлообмена, в результате чего данные файлы становятся доступны для загрузки другими пользователями сети Kazaa.

Наконец, для распространения по каналам IRC червь ищет на компьютере установленный клиент mIRC и если таковой обнаружен, то модицифирует файл script.ini, добавляя к нему свои процедуры рассылки. Затем этот файл-скрипт отсылает зараженный файл из каталога Windows каждому, кто подключается к зараженному IRC-каналу. Об этом сообщает КомпьюЛента.