ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.HTML.Jer

Classe Email-Worm
Plataforma HTML
Descrição

Detalhes técnicos

Este é um worm da Internet que se espalha através dos canais de IRC e também pretende se espalhar via e-mail, mas falha devido a erros em seu código.

Instalação

O worm foi colocado pelo autor em uma página no www.geocities.com. A página tem o título:

"<< As 40 MANEIRAS MULHERES FALHAM NA CAMA".

Em 2 de julho de 2000, as informações sobre esta página foram anunciadas aos canais do IRC e houve mais de 1000 acessos nessa página no primeiro dia. Felizmente, o worm tinha um bug em sua rotina de infecção por e-mail e não se espalhava muito.

O worm "Jer" usa uma maneira primitiva, mas muito eficaz, de penetrar em computadores. Um site contém um programa de script (o próprio worm), que é executado automaticamente depois que um usuário abre uma página HTML infectada. Em seguida, um usuário recebe um aviso do sistema para aceitar esse script desconhecido ou não. Esse método explora as chamadas "violações da mente": para evitar essa mensagem irritante, o usuário responderá "sim". Logo após esse momento, o worm será passado para o computador.

A página HTML infectada contém o script VBS em seu corpo. Ao abrir a página, o script é executado automaticamente e o worm ganha controle. Ele cria uma cópia da página HTML infectada no diretório do sistema Windows com o nome JER.HTM e registra-a no registro do sistema na seção de início automático:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG = "JER.HTM"

Como resultado, o worm será executado automaticamente em cada inicialização do Windows.

Espalhando

O worm então vai para o diretório C: MIRC e (se tal diretório existir) cria um arquivo "SCRIPT.INI" que contém os comandos para o cliente mIRC. O worm grava nesse arquivo um conjunto de comandos para enviar um arquivo JER.HTM infectado para cada computador que se conecta ao mesmo canal que o computador infectado. Além disso, esse script fornece acesso ao disco local do computador infectado ao usuário do IRC que digitou uma palavra-chave de script especificada.

Carga útil

O worm faz mais algumas alterações no registro do sistema:

  • Desativa o desktop
  • Desativa a caixa de diálogo "Localizar"
  • Desativa a caixa de diálogo de propriedades de rede
  • Remove "Desligar" do menu "Iniciar"

O worm também altera as informações de registro do Windows:

Proprietário: Eu te amo, Min
Organização: GinsengBoy- 2000

Remoção

Para restaurar as configurações do sistema, os valores originais do registro precisam ser restaurados.

Observação: é recomendável que somente usuários experientes consertem as chaves do registro usando o Editor do Registro. Acesso incorreto pode causar sérios problemas que talvez exijam a reinstalação do Windows. Para obter informações sobre como editar o registro, consulte o tópico da Ajuda online Alterando Chaves e Valores no Editor do Registro (REGEDIT.EXE).

As seguintes chaves devem ser removidas do registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFind

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkNoNetSetup

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose

As seguintes chaves devem ser alteradas para valores adequados:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionVersion – versão do Windows (por exemplo, "Windows 98").

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOwner – Nome de usuário (Windows registrado para)

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOrganization – Nome da organização (Windows registrado para)


Link para o original