ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.VBS.Cuerpo

Classe Email-Worm
Plataforma VBS
Descrição

Detalhes técnicos

Este worm da Internet infecta o computador com o Windows 9x instalado eo Internet Explorer 5.0 sem o hotfix Scriptlet.TypeLib (MS99-032). O worm se espalha via e-mail, enviando mensagens infectadas de computadores afetados. Ao espalhar o worm usa o MS Outlook e se envia para todos os endereços que estão armazenados no MS Outlook Address Book. O worm também tem um método de espalhamento alternativo que não usa o Outlook.

O worm chega a um computador como mensagem de e-mail no formato HTML. O assunto da mensagem pode ser diferente. O corpo da mensagem não possui texto visível, mas contém um script que é o próprio worm.

No momento, a mensagem está sendo aberta ou exibida no painel de visualização, o script é ativado e o código do worm é executado. Neste momento, o aviso do ActiveX pode aparecer no display:

Um controle ActiveX nesta página pode ser inseguro para interagir com outras partes
da página. Você quer permitir essa interação?
[SIM NÃO]

A escolha de [NO] não permitirá que o worm seja executado.

O worm ativado remove alguns arquivos que são partes do worm, obtém acesso ao Outlook e se espalha usando-o, depois procura no disco rígido do computador por endereços de e-mail, os coleta e usa em uma rotina alternativa de propagação.

Compondo uma mensagem infectada para enviar, o worm escolhendo o assunto de uma das mensagens existentes na Caixa de Entrada do Outlook. O worm também anexa o arquivo HTML com o código do worm. Nome do arquivo é o nome de um dos anexos existentes na caixa de entrada com "(9 Kbytes) .vbs" adicionado. Assim, a mensagem infectada contém o código do worm duas vezes – no corpo HTML da mensagem e no anexo.

O worm se adiciona a todos os arquivos de assinatura usados ​​pelo MS Outlook. Isso significa que todas as mensagens compostas no formato HTML conterão o código do worm.

O worm substitui a página inicial do Internet Explorer por uma em branco. Quatro dias após a infecção, o worm substitui a página inicial novamente com a URL apontada para "http://www.freedonation.com".

O worm tem um método de espalhamento alternativo que não usa o Outlook. Essa rotina pesquisa no disco rígido local por arquivos com as extensões "txt", "na2", "wab", "mbx", "dbx" e ​​"dat" (essas são extensões comuns para bancos de dados de correio) e, em seguida, pesquisa e coleta e- endereços de e-mail nesses arquivos. Os endereços coletados são então postados (usando o formulário HTML) no site do autor do worm. Um script especial nesse site envia mensagens infectadas diretamente do site para cada endereço recebido. Essas mensagens têm o mesmo endereço nos campos "De" e "Para" e contêm apenas o corpo HTML com o código do worm dentro. Esse método de espalhamento alternativo não funcionará assim que o site do autor do worm for fechado.


Link para o original