Адреса жертв червь I-Worm.Invalid получает из HTML-файлов. Для этого он просматривает на жестком диске зараженной машины *.HT*-файлы и ищет в них email-адреса.

Как пояснил CNews.ru главный системный администратор РБК Михаил Левин, опасность заключается не столько в самом вирусе, сколько в технологии его распространения и будущем количестве его клонов, ведь все smtp-серверы перекрыть невозможно. Для обеспечения безопасности необходимо ограничить перечень серверов, с которых и на которые можно посылать почту. Firewall можно настроить таким образом, чтобы почта отсылалась только с корпоративного сервера: корпоративный сервер может отсылать почту куда угодно, а все остальные (серверы и обычные пользователи) - только на известные почтовые серверы. По словам Михаила Левина, "в работе с почтой и в интернете нельзя будет достичь 100-процентной безопасности, потому как создатели и последователи нового транспорта размножения будут придумывать все более заманчивые способы заставить пользователя кликнуть "куда надо". А потому вопрос защиты сети файрволами от проблем, которые должны, по идее, решаться самим пользователем, становится еще более важным. Уже недостаточно поставить антивирусный сканер на корпоративный почтовый сервер, чтобы он проверял проходящую почту - приходится придумывать способы "а-ля бинт с эпоксидной пропиткой". Вспомнить хотя бы нашумевший вирус I Love You, где одним из первых грамотных действий системного администратора было перекрытие доступа к выявленным серверам, с которых скрипт I Love You снимал бинарный код "трояна".

По данным "Лаборатории Касперского", инфицированное сообщение имеет следующие характеристики:

От кого: "Microsoft Support" [support@microsoft.com] Тема: Invalid SSL Certificate',0Dh,0Ah Вложение: SSLPATCH.EXE Текст письма: Hello, Microsoft Corporation announced that an invalid SSL certificate that web sites use is required to be installed on the user computer to use the https protocol. During the installation, the certificate causes a buffer overrun in Microsoft Internet Explorer and by that allows attackers to get access to your computer. The SSL protocol is used by many companies that require credit card or personal information so, there is a high possibility that you have this certificate installed. To avoid of being attacked by hackers, please download and install the attached patch. It is strongly recommended to install it because almost all users have this certificate installed without their knowledge. Have a nice day, Microsoft Corporation

В случае ошибки, а также после рассылки зараженных сообщений червь шифрует все EXE-файлы в текущем и во всех родительских каталогах. При шифровании использует стандарт Windows crypto API.

В теле червя содержатся текстовые строки: I-Worm.Invalid, Written By Dr.T/BCVG Network, 2001 The Black Cat Virii Group, 2001