Evil: ActiveX-Datenkiller

«Evil» ist Insidern zufolge besonders gefährlich, da es verschiedene Schwachstellen in ActiveX-Programmen ausnutzt. Denn Evil kann als aktiver Inhalt sowohl auf einer entsprechend präparierten Webseite lauern als auch in HTML-Mails unterwegs sein. Erlaubt der Anwender die Ausführung des ActiveX-Programms, legt es im Autostart-Verzeichnis die Datei «windows95.hta» bei Windows 9x-PCs bzw. «windowsnt.hta» bei NT-Rechnern an. Die Erweiterung weist die Dateien als HTML-Applikationen (HTAs) aus. HTAs wurden von Microsoft mit dem Internet Explorer 5 eingeführt und gelten laut Microsoft als «fully trusted» - sie besitzen damit vollen Zugriff auf die Ressourcen der lokalen Maschine. Evil nutzt dies, um heimlich eine FTP-Verbindung aufzubauen, zerstörerische Routinen herunterzuladen und auf dem Opfer-PC auszuführen.