Ця шкідлива програма була виявлена ще минулого тижня, однак реальні випадки зараження були зафіксовані тільки зараз. У «Лабораторії Касперського» є відомості про факти зараження Winevar комп’ютерів на території Південної Кореї, Росії і країн Прибалтики.

Черв’як використовує для розповсюдження електронну пошту, причому заражені листи можуть мати різні теми і назви вкладених файлів. Для зараження Winevar використовує дві давно відомі діри в браузері Internet Explorer: Microsoft VM ActiveX Component і IFRAME. У результаті, зараження стає можливим під час читання листа без запуску файлів із черв’яком самим користувачем.

Після впровадження в систему черв’як модифікує реєстр і завантажувальні файли Windows і при наступних завантаженнях комп’ютера автоматично активізується. Для подальшого розповсюдження Winevar сканує всі доступні йому файли формату. HTM і. DBX, витягуючи з них адреси електронної пошти. На ці адреси черв’як посилає свої копії, використовуючи для цього пряме підключення до SMTP-сервера.

Winevar несе в собі три основні функції: видалення з комп’ютера всіх антивірусів, програм-відладчиків і брандмауерів, заражає комп’ютер вірусом Win32.Funlove (на щастя, не дуже небезпечним) і реалізовує DoS-атаку на сайт компанії Symantec. У деяких випадках діяльність черв’яка може призвести до втрати всієї інформації на жорсткому диску.