Kaspersky Threats — HappyTime

Classe

Plataforma

Descrição

Detalhes técnicos

Este worm da Internet se espalha nas mensagens de e-mail usando o MS Outlook Express, bem como o serviço MSMAPI. O worm é escrito em Visual Basic Script Language (VBS).

O worm chega a um computador como uma mensagem de e-mail no formato HTML ou como uma mensagem de texto sem formatação com um arquivo HTML anexado. No primeiro caso, o código de script no corpo da mensagem HTML é executado automaticamente quando a mensagem é aberta e o worm ganha o controle. No outro caso, um usuário deve abrir o arquivo HTML anexado (clique duas vezes nele) para ativar o worm.

Sendo ativado, o verme não começa imediatamente a se espalhar; mas, em vez disso, começa a infectar um computador.

Ele modifica o papel de parede da área de trabalho com um arquivo HTML que contém o código do worm dentro dele. Se a área de trabalho tiver uma imagem de plano de fundo antes da infecção, essa imagem será mostrada como plano de fundo do HTML infectado e, na maioria dos casos, não será evidente para o usuário que o papel de parede foi alterado; assim, o worm ganha controle toda vez que a área de trabalho é exibida (por exemplo, na inicialização do Windows) ou atualizada.

Além disso, o worm infecta todos os arquivos .HTT da subpasta "WEB" da pasta do Windows. O Windows usa esses arquivos para personalizar algumas pastas na exibição no Explorer quando o modo da Web está ativado (por exemplo, a pasta Arquivos de programas). A infecção desses arquivos causa a execução do código do worm toda vez que uma pasta específica é exibida.

Cada vez que o worm ganha controle, ele procura por arquivos com as extensões HTM, HTML, ASP e VBS e os infecta (insere o próprio código nesses arquivos) – um arquivo de cada vez. Depois de algum tempo, todos esses arquivos em um computador estão infectados.

O worm também modifica os valores do registro do MS Outlook Express para forçar o Outlook Express a criar mensagens no formato HTML e usa papel de carta para isso. Dessa forma, o worm se espalha nas mensagens criadas usando o Outlook Express. Cada vez que o Outlook Express compõe uma nova mensagem, ele usa um dos modelos de papel de carta (apenas arquivos HTML, infectados pelo worm – veja acima); então o script do worm automaticamente entra em uma mensagem.

Em cada execução, o worm incrementa um contador no registro do sistema e, quando atinge o valor 366, o worm executa uma das duas rotinas de propagação.

A primeira rotina coleta endereços de e-mail do catálogo de endereços do MS Outlook e envia mensagens infectadas para todos os endereços coletados.

A segunda rotina enumera todas as mensagens na pasta Caixa de Entrada e, em cada mensagem encontrada, cria e envia "resposta", onde o assunto é "Fw:" e o assunto da mensagem original.

Ambas as rotinas usam o serviço MSMAPI para enviar mensagens.

Uma mensagem infectada não tem texto, mas tem o arquivo anexado "Untitled.htm" contendo o código do worm dentro.

Se a soma do dia e do mês for 13, o worm procura arquivos EXE e DLL e os exclui um arquivo de cada vez.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Email-Worm
Plataforma	VBS
Descrição	Detalhes técnicos Este worm da Internet se espalha nas mensagens de e-mail usando o MS Outlook Express, bem como o serviço MSMAPI. O worm é escrito em Visual Basic Script Language (VBS). O worm chega a um computador como uma mensagem de e-mail no formato HTML ou como uma mensagem de texto sem formatação com um arquivo HTML anexado. No primeiro caso, o código de script no corpo da mensagem HTML é executado automaticamente quando a mensagem é aberta e o worm ganha o controle. No outro caso, um usuário deve abrir o arquivo HTML anexado (clique duas vezes nele) para ativar o worm. Sendo ativado, o verme não começa imediatamente a se espalhar; mas, em vez disso, começa a infectar um computador. Ele modifica o papel de parede da área de trabalho com um arquivo HTML que contém o código do worm dentro dele. Se a área de trabalho tiver uma imagem de plano de fundo antes da infecção, essa imagem será mostrada como plano de fundo do HTML infectado e, na maioria dos casos, não será evidente para o usuário que o papel de parede foi alterado; assim, o worm ganha controle toda vez que a área de trabalho é exibida (por exemplo, na inicialização do Windows) ou atualizada. Além disso, o worm infecta todos os arquivos .HTT da subpasta "WEB" da pasta do Windows. O Windows usa esses arquivos para personalizar algumas pastas na exibição no Explorer quando o modo da Web está ativado (por exemplo, a pasta Arquivos de programas). A infecção desses arquivos causa a execução do código do worm toda vez que uma pasta específica é exibida. Cada vez que o worm ganha controle, ele procura por arquivos com as extensões HTM, HTML, ASP e VBS e os infecta (insere o próprio código nesses arquivos) – um arquivo de cada vez. Depois de algum tempo, todos esses arquivos em um computador estão infectados. O worm também modifica os valores do registro do MS Outlook Express para forçar o Outlook Express a criar mensagens no formato HTML e usa papel de carta para isso. Dessa forma, o worm se espalha nas mensagens criadas usando o Outlook Express. Cada vez que o Outlook Express compõe uma nova mensagem, ele usa um dos modelos de papel de carta (apenas arquivos HTML, infectados pelo worm – veja acima); então o script do worm automaticamente entra em uma mensagem. Em cada execução, o worm incrementa um contador no registro do sistema e, quando atinge o valor 366, o worm executa uma das duas rotinas de propagação. A primeira rotina coleta endereços de e-mail do catálogo de endereços do MS Outlook e envia mensagens infectadas para todos os endereços coletados. A segunda rotina enumera todas as mensagens na pasta Caixa de Entrada e, em cada mensagem encontrada, cria e envia "resposta", onde o assunto é "Fw:" e o assunto da mensagem original. Ambas as rotinas usam o serviço MSMAPI para enviar mensagens. Uma mensagem infectada não tem texto, mas tem o arquivo anexado "Untitled.htm" contendo o código do worm dentro. Se a soma do dia e do mês for 13, o worm procura arquivos EXE e DLL e os exclui um arquivo de cada vez.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Email-Worm.VBS.HappyTime

Detalhes técnicos