Usando o nome do personagem histórico Ulisses, inventor do cavalo de Tróia original, vem sendo disseminado pela redes de computadores um novo vírus escrito em Visual Basic, o Trojan/Ullysse (classificado como Trojano Windows 32 bit Backdoor Trojan). 

Segundo a produtora espanhola de antivírus Panda Software, o programa ainda não se encontra amplamente disseminado (“in the wild”) e assim, por enquanto (em 2/2001), é considerado de baixa periculosidade, pois - para funcionar corretamente -, precisa entrar em contato com sistemas que contenham o Visual Basic 6 instalado e ainda necessita de alguns dados da biblioteca da versão francesa (exatamente aqueles que correspondem a essa linguagem de programação). 

Sintomas de infecção – Como outros invasores (trojanos backdoors), esse vírus é composto dos módulos servidor e cliente (respectivamente Trojan/Ullysse.Srv e Trojan/Ullysse.Cli). Assim que o for executado no servidor, o Trojan/Ulisse vai para a memória residente e inicia a criação de uma cópia de si mesmo na pasta Windows/System. Quando a conexão cliente-servidor for estabelecida, os “usuários
mal-intencionados” terão acesso ao computador infectado. Esta conexão permitirá que os invasores possam executar as seguintes ações:

manipular arquivos, uploads, downloads e execução de arquivos, criar e apagar pastas, apagar arquivos e mudar atributos; 

executar comandos do MS-DOS; 

enviar mensagens de texto com inúmeras opções de configuração;

abrir sessões de chat;

realizar ações de keylogging. Para isso, é utilizado o arquivo KROT.HUE;

executar certas ações tipo palhaçada, como abrir e fechar a bandeja do CD-ROM, ocultar ícones da área de trabalho, modificar certos parâmetros do mouse;

reiniciar o computador afetado;

captura de telas no computador afetado;

finalmente, mostra a lista de tarefas em andamento no computador infectado.

Desconto alemão - Também detectado pela Panda em 2/2001, e igualmente considerado de baixa periculosidade por ser pouco disseminado e o texto em alemão dificultar sua propagação no Brasil, já circula pela Internet e pelo IRC o verme VBS/VBSWG.K (também conhecido como VBS/VBSWG.K@M). 

Ele usa duas formas diferentes de propagação: e-mail e IRC. Entretanto, é inicialmente distribuído por e-mail na forma de anexo. A mensagem tenta enganar os usuários que acreditam que ela contém informações sobre pagamentos mais baratos de provedores de serviços de acesso Internet. O verme se envia com um arquivo chamado NEUE TARIFE.TXT.VBS para garantir sua propagação. Esse arquivo será mandado para todos os nomes do Catálogo de Endereços. As mensagens enviadas têm o seguinte formato: 
 

Se a aplicação mIRC estiver instalada no sistema, o verme instala um arquivo chamado SCRIPT.INI na pasta da aplicação. Se, ao contrário, o aplicativo instalado é o Pirch, o arquivo que instala é o EVENTS.INI. Esses são os arquivos que habilitam o verme a se espalhar via IRC. 

Quando o arquivo que contém o verme é executado, ele se copia para a pasta C:\Windows com o nome NEUE TARIFE.TXT.VBS. Ao mesmo tempo, cria uma chave no registro que lhe permite iniciar o sistema. O diretório e a chave criados são:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run T-Online wscript.exe C:\WINDOWS\Neue Tarife.txt.vbs%

Após isso, ele começa a se enviar para todos os nomes do Catálogo de Endereços na forma de anexo. As mensagens enviadas terão o formato mostrado acima. 

Da mesma forma, o verme insere uma chave no registro na primeira vez em que é executado. Dessa forma, ele procura indicar se já foi enviado assim como o método utilizado para a infecção (e-mail ou IRC). As marcas inseridas e sua locação são: 

HKEY_CURRENT_USER\Software\

Mailed 1 (when it spreads via e-mail).
Mirqued 1 (when it spreads via Mirc).
Pirched 1 (when it spreads via Pirch).

Nas próximas execuções, o verme verifica se o valor dessas entradas no Registro é igual a 1. Nesse caso, o vírus entende que já usou o método de propagação e, conseqüentemente, não o usará de novo. Nesse caso, se o vírus foi espalhado por correio eletrônico na sua primeira execução, inserirá a marca Mailed no Registro. Isso significa que o verme pode se espalhar usando qualquer uma das outras aplicações.