Infizierte eMails können verschiedene Dienste von Microsoft als Betreff haben; z.B. MS Technical Assistance, Microsoft Internet Security Section u.ä. Die Mail fordert die Anwender dazu auf, einen 'speziellen Patch für Microsoft' zu installieren, der sich angeblich im Anhang befindet.

Wie viele berüchtigte Vorgänger, z.B. Klez, benutzt auch dieser Wurm für seine Verbreitung eine Sicherheitslücke im Internet Explorer, die im März 2001 entdeckt worden ist. Dadurch kann sich der Wurm, wenn er auf einen ungeschützten Rechner gerät, selbst, ohne jede 'Hilfe' des Anwenders starten.

Der neue Schädling ist in Microsoft Visual C++ geschrieben und ist ca. 107 KB groß. Die Aktivierung des Wurms erfolgt auf zwei Wegen: Beim Öffnen der infizierten Datei durch den Anwender oder über die Schwachstelle IFrame.FileDownload, falls das eMail-Programm diese aufweist. Danach installiert sich der Wurm im System und startet seine Verbreitungsprozeduren.

Beim ersten Start lässt der Wurm manchmal ein Fenster mit der Überschrift Microsoft Internet Update Pack auf dem Bildschirm erscheinen und ahmt die Installation eines Patches nach. Dabei blockiert die Malware verschiedene Anti-Viren-Programme und Firewalls. Danach scannt Swen die Dateien des infizierten Rechners durch und sucht nach eMail-Adressen. An diese verschickt er dann Kopien von sich über eine direkte Verbindung zu einem SMTP-Server. Infizierte eMails sind in HTML-Format und enthalten die Wurm-Datei. In einigen Fällen verschickt der Wurm seine Kopien in archivierten ZIP- oder RAR-Dateien.

Beim Verbreiten über das KaZaA-Netzwerk kopiert sich der Wurm unter verschiedenen Namen in das Verzeichnis KaZaA Lite und erstellt im temporären Windows-Verzeichnis ein Unterverzeichnis mit einem zufällig gewählten Namen. Dorthin stellt er einige Kopien mit verschiedenen Namen von sich. Dieses Verzeichnis wird im Windows-Systemverzeichnis als Quelle für das P2P-System angegeben, wodurch die anderen Anwendern des Netzwerks Zugriff auf die betreffenden (Wurm-)Dateien erhalten und diese herunterladen können.

Zur Verbreitung über IRC-Kanäle schließlich sucht der Wurm auf dem Rechner nach dem Client mIRC, und wenn er diesen entdeckt, modifiziert er die Datei script.ini und fügt ihr seine Verbreitungsprozeduren hinzu. Danach verschickt diese Script-Datei die infizierte Datei aus dem Windows-Verzeichnis an jeden Rechner, der an den infizierten IRC-Kanal angeschlossen ist.

Nach Angaben der Anti-Viren-Experten von Kaspersky Labs sind bis jetzt weltweit über 30`000 Rechner infiziert worden. Und ihre Zahl wächst dauernd weiter an.

Detailliertere Informationen finden Sie demnächst in der Kaspersky Virus Encyclopedia und auf der Kaspersky Labs Web-Seite. Folgen Sie dem aktuellsten Stand.

Der Kaspersky Antiviren-Datenbank sind bereits Schutzverfahren gegen den I-Worm.Swen hinzugefügt worden.