病毒名称：VBS.Irok.Trojan.Worm

其它名称：HLLP.10000,HLLP.Irok,VBS/Irok.Worm,Krile

病毒属性：蠕虫病毒 危害性：低危害 流行程度：低

具体介绍：

Irok 是一个通过微软Outlook 电子邮件传播的蠕虫，它同时还具有病毒的破坏行为。

该蠕虫附在e-mail 中进入用户的系统，e-mail 的主题为：

"I thought you might like to see this."

e-mail 的主要内容为：

"I thought you might like this. I got it from paramount pictures website.

It's a startrek screen saver."

在e-mail中附带着一个名为 Irok.exe 的可执行文件，但是没有可显示的图标。当附件文件被运行，屏幕将显示一个飞行的星空模拟图像。在系统后台，蠕虫将自身拷贝到C:\\Windows\\System 目录，并在C:\\Windows\\Start Menu\\Startup 目录下生成一个名为Irokrun.vbs 的文件（文件长度862字节），另一个是在C:\\Windows\\System 目录下的WinRDE.DLL文件。

蠕虫试图删除不同的反病毒软件的病毒特征文件或校验文件，以便停止反病毒软件的检测和清除操作，并可以感染其它的可执行文件。该蠕虫的传染部分是一个16bit 的DOS病毒，但是它会感染所有的可执行文件，且不管这些文件是在何种操作平台上运行的可执行文件，在很多情况下，这些文件会被破坏，且可能无法修复。

为了执行，蠕虫需要安装Windows Scripting Host (WSH)，这意味着一个Windows98的机器是易感染病毒的，但是Windows 95用户是必须要安装WSH的。Irok 蠕虫的传播依靠安装在C:\\Windows下的操作系统，因此，它不能在缺省安装的Windows 2000 或 Windows NT系统下工作。

如果WSH已安装，Irokrun.vbs 脚本将在系统下一次启动时被执行。该脚本试图发送先前的电子邮件到每一个Outlook地址通讯簿的前60个电子邮箱中，执行后蠕虫删除自身。蠕虫还试图通过Internet在线聊天系统（IRC）发送自身。