In "freier Wildbahn" wurde ein Worm Namens "Jer" gesichtet, der sich über eine entsprechende infizierte Webseite verbreitet. Bei einer Infektion verbreitet sich der Worm über den IRC, sowie per E-Mail. Letzteres funktioniert laut Angaben von Kaspersky Lab. (AVP-AntiViralToolkit Pro) aufgrund einer fehlerhaften Programmierung in diesem hier aufgeführten Fall jedoch nicht.
Bei Aufruf der betreffenden Seite (die ein bösartiges Script enthält) wird der Anwender durch den Browser über den gefährlichen Inhalt gewarnt. Ignoriert der Surfer jedoch die Warnung, indem er das Laden der Webseite bestätigt, installiert sich der Worm auf dem lokalen System.
Der Autor des Worms legt eine entsprechende Webseiten bei dem Freehoster "Geocities" an. Im IRC wurde diese Seite beworben und lockte mehrere tausend Besucher an. Viele dieser User infizierten sich auch mit diesem Worm.
Die "Script.ini" im Mirc-Verzeichnis wird ergänzt bzw. neu geschrieben. Danach legt der Worm auf jedem Rechner, der sich im gleichen Channel wie das infizierte System befindet eine Datei unter dem Namen "Jer.htm" an.
Sobald eine bestimmtes Script-Schlüsselwort im IRC eingegeben wird, erlaubt dieses den Zugriff auf das infizierte System.
Jer nimmt desweiteren zahlreichen Veränderungen in der Windows-Registrierung vor. Später verschwindet auch das Suchen-Dialog, die Netzwerkeigenschaften und der Rechner kann über die gewohnten Wege nicht mehr heruntergefahren werden.
Das Anti Viral Toolkit Pro (AVP) erkannte als erste Software diesen Worm. Andere Softwarefirmen dürften zwischenzeitlich nachgezogen sein bzw. werden dieses in kürzester Zeit tun.
