Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um worm da Internet que se espalha como um arquivo VBS anexado a mensagens de e-mail. Para enviar mensagens infectadas, o worm usa o MS Outlook. O worm também é capaz de enviar suas cópias para os canais do IRC, infectando um cliente mIRC.

Quando o arquivo worm é ativado (clicando duas vezes no arquivo anexado em mensagens infectadas, ou sendo aceito como um download de IRC), ele se instala no sistema copiando seu código para o diretório Windows com o nome RUNDLL32.VBS e registrando-o na seção de execução automática no registro do Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
MSrundll32 = rundll32.vbs

Como resultado, o worm é ativado toda vez que o Windows é inicializado.

Mensagens de e-mail

Enquanto envia suas cópias, o worm se conecta ao MS Outlook, obtém acesso ao catálogo de endereços e envia suas cópias para todos os endereços listados nele. Dependendo da configuração do sistema, a mensagem tem um assunto e um corpo diferentes. Sob a versão alemã do Windows, a mensagem aparece da seguinte maneira:

Assunto : Moin, alles klar?
Corpo : Oi, o que eu diria?
Guck dir mal das Foto im Anhang an, ist echt geil;)
tchau, dann dan ..

Sob o Windows não alemão:

Assunto : Oi, como vai você?
Body : Oi, olhe para aquela bela foto anexada!
Assistir é uma obrigação;)
vejo você depois…

O nome do arquivo anexado é selecionado aleatoriamente entre oito variantes:

Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE !!! .JPG.vbs
CuteJany__BigTits! .GIF.vbs
MyGirlfriend__NUDE! .JPG.vbs
Aguiliera__NUDE !! .JPG.vbs
! Jany__Gets-fucked! .GIF.vbs
cute__EmmaPeel !!! .JPG.vbs
Julie17__xxx.GIF.vbs

Uma cópia do worm com o mesmo nome (selecionado aleatoriamente) também é criada no diretório do Windows (exatamente essa cópia é anexada às mensagens infectadas).

Infecção por IRC

Para se espalhar para os canais IRC, o worm cria um arquivo do sistema SCIRIP.INI mIRC no diretório mIRC (se estiver instalado). O worm procura por um diretório C: MIRC, bem como por um diretório MIRC em "Arquivos de Programas". Se o mIRC estiver instalado, o worm lançará um novo arquivo SCRIPT.INI para lá. Este arquivo contém um conjunto de instruções que envia o arquivo worm para todos que entram em um canal infectado.

O script mIRC também:

temporariamente move o arquivo RUNDLL32.VBS do worm do Windows para o diretório de sistema do Windows com um dos nomes aleatórios listados acima (ao desconectar do canal IRC, ele move o arquivo VBS de volta para o diretório Windows com o mesmo nome RUNDLL32.VBS)
envia a mensagem "Burn, Burn, Burn :)" para uma conferência de "vírus";
oculta mensagens semelhantes a vírus na conferência atual (ignora mensagens que contenham qualquer uma das palavras: "script", "vírus", "worm")
no texto "die lamer" no chat, o script sai do canal com a mensagem "Vou cometer suicídio! RIP"
no texto "fire", exibe o texto "Burn Burn Burn :)"

Rotina de carga útil

A rotina de carga útil é ativada no dia 20 de junho. Exibe a seguinte mensagem:

Queimadura
Tenho orgulho de dizer que você está infectado pelo FireburN!

e desativa o teclado e o mouse, modificando as duas chaves de registro do sistema a seguir:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shut_Up = "mouse rundll32, desabilitar"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shut_Up2 = "Teclado rundll32, desabilitar"

Misc

O worm também altera o campo "Registered Owner" em "MyComputer / Properties", o novo valor é "FireburN". Isso é feito modificando a seguinte chave do Registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RegisteredOwner = FireburN

O código do worm também contém o texto "copyright":

VBS.FIREBURN.A – mIRC / worm do Outlook codificado por fireburn
Polimórfico: Alterando o nome do arquivo real em cada início …
cumprimenta: para todos os membros do 'UnCreativeLabs'

Link para o original

Classe	Email-Worm
Plataforma	VBS
Descrição	Detalhes técnicos Este é um worm da Internet que se espalha como um arquivo VBS anexado a mensagens de e-mail. Para enviar mensagens infectadas, o worm usa o MS Outlook. O worm também é capaz de enviar suas cópias para os canais do IRC, infectando um cliente mIRC. Quando o arquivo worm é ativado (clicando duas vezes no arquivo anexado em mensagens infectadas, ou sendo aceito como um download de IRC), ele se instala no sistema copiando seu código para o diretório Windows com o nome RUNDLL32.VBS e registrando-o na seção de execução automática no registro do Windows: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun MSrundll32 = rundll32.vbs Como resultado, o worm é ativado toda vez que o Windows é inicializado. Mensagens de e-mail Enquanto envia suas cópias, o worm se conecta ao MS Outlook, obtém acesso ao catálogo de endereços e envia suas cópias para todos os endereços listados nele. Dependendo da configuração do sistema, a mensagem tem um assunto e um corpo diferentes. Sob a versão alemã do Windows, a mensagem aparece da seguinte maneira: Assunto : Moin, alles klar? Corpo : Oi, o que eu diria? Guck dir mal das Foto im Anhang an, ist echt geil;) tchau, dann dan .. Sob o Windows não alemão: Assunto : Oi, como vai você? Body : Oi, olhe para aquela bela foto anexada! Assistir é uma obrigação;) vejo você depois… O nome do arquivo anexado é selecionado aleatoriamente entre oito variantes: Ultra-Hardcore-Bondage.JPG.vbs Christina__NUDE !!! .JPG.vbs CuteJany__BigTits! .GIF.vbs MyGirlfriend__NUDE! .JPG.vbs Aguiliera__NUDE !! .JPG.vbs ! Jany__Gets-fucked! .GIF.vbs cute__EmmaPeel !!! .JPG.vbs Julie17__xxx.GIF.vbs Uma cópia do worm com o mesmo nome (selecionado aleatoriamente) também é criada no diretório do Windows (exatamente essa cópia é anexada às mensagens infectadas). Infecção por IRC Para se espalhar para os canais IRC, o worm cria um arquivo do sistema SCIRIP.INI mIRC no diretório mIRC (se estiver instalado). O worm procura por um diretório C: MIRC, bem como por um diretório MIRC em "Arquivos de Programas". Se o mIRC estiver instalado, o worm lançará um novo arquivo SCRIPT.INI para lá. Este arquivo contém um conjunto de instruções que envia o arquivo worm para todos que entram em um canal infectado. O script mIRC também: temporariamente move o arquivo RUNDLL32.VBS do worm do Windows para o diretório de sistema do Windows com um dos nomes aleatórios listados acima (ao desconectar do canal IRC, ele move o arquivo VBS de volta para o diretório Windows com o mesmo nome RUNDLL32.VBS) envia a mensagem "Burn, Burn, Burn :)" para uma conferência de "vírus"; oculta mensagens semelhantes a vírus na conferência atual (ignora mensagens que contenham qualquer uma das palavras: "script", "vírus", "worm") no texto "die lamer" no chat, o script sai do canal com a mensagem "Vou cometer suicídio! RIP" no texto "fire", exibe o texto "Burn Burn Burn :)" Rotina de carga útil A rotina de carga útil é ativada no dia 20 de junho. Exibe a seguinte mensagem: Queimadura Tenho orgulho de dizer que você está infectado pelo FireburN! e desativa o teclado e o mouse, modificando as duas chaves de registro do sistema a seguir: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Shut_Up = "mouse rundll32, desabilitar" HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Shut_Up2 = "Teclado rundll32, desabilitar" Misc O worm também altera o campo "Registered Owner" em "MyComputer / Properties", o novo valor é "FireburN". Isso é feito modificando a seguinte chave do Registro: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RegisteredOwner = FireburN O código do worm também contém o texto "copyright": VBS.FIREBURN.A – mIRC / worm do Outlook codificado por fireburn Polimórfico: Alterando o nome do arquivo real em cada início … cumprimenta: para todos os membros do 'UnCreativeLabs'
	Link para o original

Email-Worm.VBS.Fireburn

Detalhes técnicos

Mensagens de e-mail

Infecção por IRC

Rotina de carga útil

Misc