ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.JS.Gigger

Classe Email-Worm
Plataforma JS
Descrição

Detalhes técnicos

Este é um verme perigoso. Ele replica usando o Outlook, Outlook Express e mIRC. O worm é escrito em JavaScript e Visual Basic Script (VBS). Ele contém rotinas de carga útil destrutivas que são capazes de formatar o disco rígido do usuário após a reinicialização e podem excluir todos os arquivos em todos os discos disponíveis.

Instalação

Ao instalar no sistema, o worm cria vários arquivos:

C: Bla.hta
C: B.htm
C: WindowsSamplesWshCharts.js
C: WindowsHelpMmsn_offline.htm

Então o worm encontra seu sinal "já infectado" no registro e, se não existir, o worm o cria.

O sinal de presença de infecção está localizado na seguinte chave do Registro:

HKEY_CURRENT_USERSoftwarethegravebadusersv2.0

O worm encontra todas as unidades de rede conectadas e se copia para elas no seguinte local:

WindowsStart MenuProgramsStartUpMsoe.hta

Espalhando via e-mail

O worm usa o Outlook e o Outlook Express para se espalhar em mensagens de e-mail infectadas.

A mensagem infectada contém as seguintes propriedades:

Assunto : Atualização do Outlook Express
Corpo : MSNSoftware Co.
Anexo : mmsn_offline.htm

O worm também envia uma mensagem que contém os endereços de e-mail de seus destinatários para um endereço de e-mail, que parece pertencer ao autor do worm.

Espalhando via IRC

O worm encontra a pasta de instalação de um aplicativo cliente mIRC e cria o nome do arquivo "script.ini". Depois disso, o worm se envia para cada usuário que une o mesmo canal de IRC onde o usuário infectado está.

Nome do arquivo enviado por meio do mIRC: "mmsn_offline.htm"

Carga útil

O worm adiciona a seguinte linha no arquivo Autoexec.bat:

ECHO y | format c:

Isso resulta na formatação do disco C: após a reinicialização do computador.

Se o dia do mês for 1º, 5º, 10º, 15º ou 20º, o worm excluirá todos os arquivos de todas as unidades.


Link para o original