Aliz ist ein sehr kleiner E-MAIL-Wurm in reinem Assembler-Code geschrieben. Er tauchte um den 18.-20. November 2001 erstmals auf. Die Wurm-Datei ist lediglich 4 KB groß und der Code ist komprimiert. Er kann als der kleinste Win32-Wurm bezeichnet werden, der bisher jemals entwickelt wurde. Wenn der Wurm gestartet wurde, entpackt er sich zunächst und holt sich die Kontrolle über die API-Adress-Setup-Routine. Wenn er alle benötigten API-Adressen ermittelt hat, übergibt er die Kontrolle an die Hauptroutine des Wurms. Der Wurm sucht in der Registry nach dem Windows-Adress-Buch und lädt es in den Speicher. Anschließend nimmt er die Verbindung auf zum Standard-SMTP-Server (Informationen dazu holt er sich aus dem Internet Account Manager der Registry) und sendet sich an alle Empfänger, die er im Windows-Adress-Buch finden kann.

Die infizierte Nachricht sieht folgendermaßen aus:

Betreff: zufällig zusammen gestellt aus 5 verschiedenen Wort-Verbindungen, siehe unten Nachricht:
Anhang: Whatever.exe
Die Betreff-Zeile wird aus 5 verschiedenen Wort-Verbindungen zusammen gestellt
Fw:
Fw: Re:

Cool
Nice
Hot
some
Funny
weird
funky
great
Interesting
many

website
site
pics
urls
pictures
stuff
mp3s
shit
music
info

to check
for you
i found
to see
here
- check it

!!
!
:-)
?!
hehe ;-)

Zum Beispiel kann eine Betreffzeile sein:
"Fw: Cool pictures i found !!" oder "Nice website to check hehe ;-)".
Die Nachricht enthält einen MIME-verschlüsselten Anhang mit der Wurmdatei 'Whatever.exe' Der Nachrichtentext ist eine leere vielteilige MIME-Nachricht mit HTML-Formatierung und i-frame-Trick, den auch die Würmer Nimda und Klez verwenden. Durch diesen Trick wird es dem Wurm auf einigen Systemen (z.B. mit Outlook und IE 5.0 oder 5.01) möglich gemacht, schon beim Ansehen der infizierten Nachricht aktiv zu werden. Dabei nutzt der Wurm eine bekannte Sicherheitslücke des Internet Explorer (IE). Durch einen Patch von Microsoft lässt sich diese Lücke beseitigen: http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Der Wurm enthält folgenden, verborgenen Text, den er niemals anzeigt: :::iworm.alizee.by.mar00n!ikx2oo1::: while typing this text i realize this text got added on many av description sites, because this silly worm could be easily a hype. i wonder which av claims '[companyname] stopped high risk worm before it could escape!' or shit like that. heh, or they boycot my virus because of this text. well, it is easy enough for the poor av's to add this worm; since it was only released as source in coderz#2... btw, loveletter*2 power in pure win32asm and only a 4k exe file. heh, vbs kiddies, phear win32asm. :) thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx, t-2000!ir, ultras!mtx & sweet gigabyte... btw,burgemeester van sneek: ik zoek nog een baantje... (alignmentfillingtext)

F-Secure Anti-Virus / F-PROT erkennt Aliz mit den aktuellen Signaturen.
[Analyse: Alexey Podrezov; F-Secure Corp.; 19.11.2001;
dt. Übersetzung @ntivirus-shop.com]