ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.VBS.Challenge

Classe Email-Worm
Plataforma VBS
Descrição

Detalhes técnicos

Esse worm se espalha usando o MS Outlook Express 5. Ele se anexa a todas as mensagens enviadas de um computador infectado. O worm não se anexa a mensagens como fazem os worms comuns, mas incorpora seu corpo a uma mensagem como um programa de script na linguagem Visual Basic Script. Quando uma mensagem infectada é aberta no computador da vítima, esse programa não aparece na tela, mas ganha controle e infecta o sistema.

Para romper a segurança do MS Outlook Express, o worm aproveita uma vulnerabilidade de segurança que permite que o código de script no acesso a mensagens de email com base em HTML para controles ActiveX não esteja disponível neste contexto. A Microsoft lançou um patch que elimina essa vulnerabilidade de segurança. Consulte http://www.microsoft.com/technet/securThisy/bulletin/MS00-075.asp para obter mais informações. É altamente recomendável que um usuário instale o patch disponível ali, protegendo-o contra muitos worms de script que usam essa vulnerabilidade.

O worm infecta o computador em duas etapas:

A primeira etapa é quando uma mensagem infectada é exibida e um programa de script incorporado é controlado. Isso cria um arquivo TEMP.HTA com a cópia do worm em uma pasta de inicialização do Windows. (Esse worm é mais preciso ao encontrar uma pasta de inicialização do Windows. Seu método funciona em todas as versões do Windows, como no I-Worm.KakWorm).

A segunda etapa, desde que o arquivo TEMP.HTA é colocado na pasta de inicialização do Windows, é que o Windows o executa na inicialização. O script neste arquivo é criado no arquivo de pasta do sistema Windows FOLDER.HTML com o mesmo script que estava na mensagem infectada e, em seguida, registra esse arquivo como um arquivo de assinatura padrão do MS Outlook Express 5. A partir desse momento, todas as mensagens enviadas de um computador contenha uma assinatura com o corpo do verme, isto é, infectado.


Link para o original