ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.VBS.Horillka

Classe Email-Worm
Plataforma VBS
Descrição

Detalhes técnicos

Esse worm mal-intencionado se espalha pela Internet na forma de um arquivo anexado a mensagens infectadas. É um script VBS codificado de 25562 bytes.

Quando baixado Horilka descriptografa-se.

Ele se copia para o diretório de sistema do Windows sob o nome WinSys32dll.vbs e registra esse arquivo na chave de execução automática do Registro do sistema.

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinSys32dll. 

O vírus em massa envia todos os endereços encontrados no catálogo de endereços do Microsoft Outlook.

Características das mensagens infectadas:

Cabeçalho da mensagem:

 ��������! 

Corpo da mensagem:

 ����� ����� vbs ���������� ��� ������ ������� � ������ �� Windows !
 ��� �������� �������� � ��������, �������������� �� ����� .
 ������������ ������ ������� �� ������-�����, ��� ������� � ������������� 
vb � js ������, ������ ��� ��� ������ ������������� ��������� ���.
 ���������� ������� ���� � ��������� �� ���������� ������� �������� ����� 
 ����������� �������� � ������ ����������. 

Anexo:

um script VBS,

 WinSys32.dll.vbs 

Depois que as mensagens são enviadas, o vírus envia ao autor uma mensagem que inclui todos os arquivos .pwl (senha) encontrados no diretório do Windows.

As mensagens são enviadas uma vez, quando a configuração de cada usuário é carregada.

O vírus se copia para todos os discos e todos os diretórios com o nome de Folderdll.vbs e marca esses arquivos como ocultos.

Ele procura na pasta do Windows por arquivos com as seguintes extensões:

 .vbs
jpg
.jpeg
.gif
.bmp
.htm
.html
.avc
.TXT
.doc
.mp3
.wav
.dbf 

Horilka sobrescreve arquivos .vbs com seu próprio código.

Ele substitui os arquivos .jpg, .jpeg, .gif e .bmp por um gráfico de formato GIF contido no corpo do vírus.

Adiciona o seguinte código aos arquivos .htm e.html:


Os arquivos .avc são sobrescritos com a frase:

 Vyatka estava aqui 

Os arquivos .txt e .doc são sobrescritos com o seguinte texto:

 ������� �������! ��� ������ ����� �� ����� - ������� ������.
   Queridos amigos! Você foi hackeado pelo vírus de Vyatka (situado no rabo profundo da Rússia)
   .. :: Xpi1oT :: .. 

arquivos .mp3 e .wav são substituídos por arquivos de som contidos no corpo do worm

Se o worm encontrar algum arquivo com extensão .dbf, ele será excluído

O vírus é codificado para exibir o anúncio:

 COOOOOOOOL 

no dia 11 de dezembro de cada ano e sobrescrever o arquivo autoexec.bat com o seguinte texto:

 @Windows atualizando seu sistema ...
   @Por favor, espere
   formato c: / autotest / q / u
   @Por favor, espere...
   formato d: / autotest / q / u
   @Seu sistema foi invadido pelo vírus de Vyatka (situado no fundo da Rússia) 

Quando isso ocorrer, o sistema será reinicializado, resultando na formatação do disco rígido C :.


Link para o original