ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.VBS.HappyTime

Classe Email-Worm
Plataforma VBS
Descrição

Detalhes técnicos

Este worm da Internet se espalha nas mensagens de e-mail usando o MS Outlook Express, bem como o serviço MSMAPI. O worm é escrito em Visual Basic Script Language (VBS).

O worm chega a um computador como uma mensagem de e-mail no formato HTML ou como uma mensagem de texto sem formatação com um arquivo HTML anexado. No primeiro caso, o código de script no corpo da mensagem HTML é executado automaticamente quando a mensagem é aberta e o worm ganha o controle. No outro caso, um usuário deve abrir o arquivo HTML anexado (clique duas vezes nele) para ativar o worm.

Sendo ativado, o verme não começa imediatamente a se espalhar; mas, em vez disso, começa a infectar um computador.

Ele modifica o papel de parede da área de trabalho com um arquivo HTML que contém o código do worm dentro dele. Se a área de trabalho tiver uma imagem de plano de fundo antes da infecção, essa imagem será mostrada como plano de fundo do HTML infectado e, na maioria dos casos, não será evidente para o usuário que o papel de parede foi alterado; assim, o worm ganha controle toda vez que a área de trabalho é exibida (por exemplo, na inicialização do Windows) ou atualizada.

Além disso, o worm infecta todos os arquivos .HTT da subpasta "WEB" da pasta do Windows. O Windows usa esses arquivos para personalizar algumas pastas na exibição no Explorer quando o modo da Web está ativado (por exemplo, a pasta Arquivos de programas). A infecção desses arquivos causa a execução do código do worm toda vez que uma pasta específica é exibida.

Cada vez que o worm ganha controle, ele procura por arquivos com as extensões HTM, HTML, ASP e VBS e os infecta (insere o próprio código nesses arquivos) – um arquivo de cada vez. Depois de algum tempo, todos esses arquivos em um computador estão infectados.

O worm também modifica os valores do registro do MS Outlook Express para forçar o Outlook Express a criar mensagens no formato HTML e usa papel de carta para isso. Dessa forma, o worm se espalha nas mensagens criadas usando o Outlook Express. Cada vez que o Outlook Express compõe uma nova mensagem, ele usa um dos modelos de papel de carta (apenas arquivos HTML, infectados pelo worm – veja acima); então o script do worm automaticamente entra em uma mensagem.

Em cada execução, o worm incrementa um contador no registro do sistema e, quando atinge o valor 366, o worm executa uma das duas rotinas de propagação.

A primeira rotina coleta endereços de e-mail do catálogo de endereços do MS Outlook e envia mensagens infectadas para todos os endereços coletados.

A segunda rotina enumera todas as mensagens na pasta Caixa de Entrada e, em cada mensagem encontrada, cria e envia "resposta", onde o assunto é "Fw:" e o assunto da mensagem original.

Ambas as rotinas usam o serviço MSMAPI para enviar mensagens.

Uma mensagem infectada não tem texto, mas tem o arquivo anexado "Untitled.htm" contendo o código do worm dentro.

Se a soma do dia e do mês for 13, o worm procura arquivos EXE e DLL e os exclui um arquivo de cada vez.


Link para o original