E' stata segnalata la crescita di diffusione di un nuovo worm che attacca sistemi Windows tentando inoltre di disattivare antivirus e firewall. 
Swen è un worm che si diffonde via email, rete locale (LAN), IRC e Kazaa e sfrutta una vulnerabilità di Internet Explorer per essere eseguito direttamente dalla e-mail. 

Quando l'utente si connette ad IRC, il worm attiva uno script che gli permette di inviarsi a tutti gli altri utenti della chat IRC alla quale si e' connesso il computer infetto. Su Kazaa, invece, Swen copia se stesso nella directory dei file condivisi dall'utente infetto in attesa di essere scaricato da altri utenti. Nelle reti locali, esegue  una mappatura dei sistemi che condividono la rete stessa si installa sulla directory individuata.

Quando giunge via email, il worm può attivarsi solo leggendo la email poichè sfrutta una vulnerabilità di Windows, nota già dallo scorso mese di Giugno. Per chi non lo avesse ancora fatto, raccomandiamo di scaricare la patch di sicurezza partendo da 
Microsoft Security Bulletin MS01-020 . 
Il worm è  contenuto in allegato al messaggio di posta, che sembra essere un bollettino ufficiale della Microsoft (vedi immagine), oppure tenta di ingannare l'utente mascherandosi come messaggio che ha fallito la sua spedizione e sta quindi tornando al mittente (delivery failure).
L'email e' chiaramente falsa e contiene un allegato che non va aperto perche' in grado di di infettare il sistema.
In caso di esecuzione dell'allegato vengono attivate diverse finestre che simulano l'installazione della patch Microsoft. In realta' queste videate  mascherano le azioni che il worm sta effettivamente eseguendo, tra cui l'inserimento e la modifica di numerose chiavi nel registro di Windows.
Continua poi la sua opera tentando di bloccare il funzionamento di sistemi di sicurezza come i firewall e i software antivirus, inserisce una copia di se stesso nella directory di Windows e genera  un file con un nome casuale, creando un secondo file contenente tutti gli indirizzi di posta elettronica che riesce a catturare sul computer attaccato. Genera successivamente un ulteriore file con tutti i dati relativi al tipo di computer che ha colpito.

A questo punto il worm esegue modifiche nel file di registro di Windows per consentire la riattivazione ad ogni riavvio della macchina garantendosi la possibilità di usare un proprio sistema di posta elettronica. Presenta all'utente una schermata che sembra perfettamente legittima e che lo invita ad inserire i propri dati, compreso l'account email, in un modulo. Dati che poi il worm utilizza per diffondersi.

Ricordiamo che Microsoft non diffonde via posta elettronica le patch di sicurezza, a meno che l'utente non abbia espressamente effettuato un contratto specifico.

Tutti i principali produttori di software antivirus hanno rilasciato le ultime definizioni per i propri sistemi di difesa ed è quindi consigliabile aggiornare il proprio antivirus.