ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.VBS.Davinia

Classe Email-Worm
Plataforma VBS
Descrição

Detalhes técnicos

Este worm da internet se espalha por mensagens de e-mail usando o MS Outlook e o MS Word 2000.

O worm chega ao computador como uma mensagem de e-mail no formato HTML. O assunto e o corpo da mensagem estão vazios, mas há um script de mensagem em espanhol, que é executado automaticamente quando a mensagem é exibida. Ele abre uma nova janela do navegador e faz o download de uma página do site da Internet do worm.

A página carregada contém outro script que abre um documento do Microsoft Word com macros colocadas no mesmo site. Para evitar um aviso de proteção de macro-vírus, o worm explora a vulnerabilidade "Office 2000 UA Control" e permite que o script desative a proteção de macro-vírus do Microsoft Word 2000 sem a confirmação do usuário. (Para obter mais informações sobre a vulnerabilidade "Office 2000 UA Control", consulte: http://www.microsoft.com/technet/security/bulletin/ms00-034.asp )

A macro no documento do Microsoft Word é executada automaticamente na abertura do documento. Ele obtém acesso ao Microsoft Outlook, extrai endereços do catálogo de endereços do Outlook e envia mensagens de e-mail para eles. As mensagens enviadas são as mesmas que as mencionadas anteriormente, portanto, o próprio worm (macro no documento) é sempre colocado na mesma área – no site da Internet. As mensagens enviadas contêm links apenas para este site e, caso o site do worm fique inacessível, o worm não poderá mais se espalhar.

O worm tem uma rotina de carga perigosa: depois de enviar mensagens, a macro cria um arquivo de diretório do sistema no Windows chamado "littledavinia.vbs" e modifica o registro do sistema para executar esse arquivo em cada inicialização do Windows. O script neste arquivo destrói todos os dados em todos os discos – ele sobrescreve todos os arquivos com uma página HTML. Após a ativação, a página exibe a seguinte mensagem:

VBScript: Onel2 - Melilla Hola, tu nombre es [��� ������������]. Tu email es [email-����� ������������]. Yo soy Onel2, y vivo en Melilla una cidade do norte da África. Estoy enamorado de una chica llamada Davinia. Ella es la mas guapa do mundo. Es como una diosa. Igual que você contagie de amor de Davinia, tus arquivar se de um contagiar de amor de esta pagina Davinia (chica) y Davinia (vírus) rompen corazones y archivos. littledavinia version 1.1 esta en camino ... [Abortar] [Repetir] [Ignorar]

A Microsoft lançou uma atualização eliminando a vulnerabilidade "Office 2000 UA Control". É altamente recomendável que você visite http://officeupdate.microsoft.com/2000/downloadDetails/Uactlsec.htm e instale esta atualização.


Link para o original