ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.JS.Sigbug

Classe Email-Worm
Plataforma JS
Descrição

Detalhes técnicos

Este programa malicioso é um worm de e-mail em HTML. Ele se envia para todos os endereços de e-mail no catálogo de endereços. No dia 31 de maio, o worm desativará a interface gráfica do usuário nos sistemas Win9x. Tem 1,889 bytes de tamanho. Está escrito em JavaScript.

Instalação

Ao instalar, o worm se copia para a máquina vítima com o seguinte nome:

 C: Recycledstacey.htm 

Carga útil

O worm substitui a assinatura da mensagem nas mensagens enviadas pelo Outlook Express, instalando as seguintes chaves:

  1. Permite o uso de assinaturas de arquivos externos:
    [HKCUIdentities% ID_ïîëüçîâàòåëÿ% SoftwareMicrosoftOutlook Express5.0]
    "Bandeiras de Assinatura" = "3"
  2. Configura o Outlook Express para usar uma assinatura padrão definida como "00000000":
    [HKCUIdentities% ID_ïîëüçîâàòåëÿ% SoftwareMicrosoftOutlook Express5.0signatures]
    "Assinatura Padrão" = "00000000"
  3. Instala um registro do sistema que possibilita que a assinatura “00000000” seja carregada do arquivo worm:
    [HKCUIdentities% ID_ïîëüçîâàòåëÿ% SoftwareMicrosoftOutlook Express5.0 assinaturas 0000000]
    "name" = "Assinatura # 1"
    "tipo" = "2"
    "text" = ""
    "file" = "C: RECYCLEDSTACEY.HTM"

    O worm usa o MS Outlook para enviar e-mail para todos os endereços do catálogo de endereços.

    Assunto da mensagem: "Check This Out!"

    O corpo da mensagem contém o texto do seguinte arquivo: C: Recycledstacey.htm

    O worm então instala uma chave que indica que as mensagens foram enviadas:

     [HKCUSoftwareJS.Stacey]
    "Mailed" = "Sim!" 

    Cada vez que uma mensagem infectada é aberta ou o Outlook Express é iniciado, o worm verifica a data atual do sistema. No dia 31 de maio de cada ano, ele desativará a interface gráfica do usuário nos sistemas Win9x.

    Instruções de remoção

    Se o seu computador não tiver um antivírus atualizado ou não tiver uma solução antivírus, siga as instruções abaixo para excluir o programa mal-intencionado:

    1. Exclua o arquivo original do worm (o local dependerá de como o programa originalmente penetrou na máquina da vítima).
    2. Exclua as seguintes chaves do Registro:

      [HKCUIdentities% ID_ïîëüçîâàòåëÿ% SoftwareMicrosoftOutlook Express5.0]
      "Bandeiras de Assinatura" = "3"

      [HKCUIdentities% ID_ïîëüçîâàòåëÿ% SoftwareMicrosoftOutlook Express5.0signatures]
      "Assinatura Padrão" = "00000000"

      [HKCUIdentities% ID_ïîëüçîâàòåëÿ% SoftwareMicrosoftOutlook Express5.0signatures 00000000]
      "name" = "Assinatura # 1"
      "tipo" = "2"
      "text" = ""
      "file" = "C: RECYCLEDSTACEY.HTM"

      [HKCUSoftwareJS.Stacey]

    3. Exclua o seguinte arquivo:
       C: Recycledstacey.htm 
    4. Modifique a configuração da inserção automática de assinatura no Outlook Express.
    5. Atualize seus bancos de dados de antivírus e execute uma verificação completa do computador ( baixe uma versão de avaliação do Kaspersky Anti-Virus).

Link para o original