Novo vírus tem múltiplos meios de ataque

O Swen possui seu próprio mecanismo SMTP na construção de mensagens. Algumas delas visam a vulnerabilidade do Internet Explorer (MS01-020), onde o código viral é ativado apenas com a visualização do e-mail. Como exemplo de remetente, a mensagem pode conter “E-mail Delivery Service ([email protected])”, o assunto “Returned Response” e corpo “Undeliverable mail to (email address)”.

Podem também ser enviadas falsas mensagens a respeito de “atualização da Microsoft”. Os múltiplos assuntos e nomes de anexos utilizados são pegos a partir de strings contidas no próprio código viral. Já os endereços de destino são extraídos da máquina da vítima.

A propagação via IRC se dá por meio de um arquivo denominado SCRIPT.INI, colocado dentro da pasta do programa mIRC, que usa o dcc (Direct Cable Connection) para envio do vírus. O Swen também se copia para o diretório TEMP do WindowsSystem, com nome aleatório.