ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO. Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Detect date
05/05/2000
Classe
Email-Worm
Plataforma
VBS

Classe principal: VirWare

Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.

Classe: Email-Worm

Email-Worms espalhado via email. O worm envia uma cópia de si mesmo como um anexo a uma mensagem de e-mail ou um link para seu arquivo em um recurso de rede (por exemplo, um URL para um arquivo infectado em um site comprometido ou um site de propriedade de hackers). No primeiro caso, o código do worm é ativado quando o anexo infectado é aberto (ativado). No segundo caso, o código é ativado quando o link para o arquivo infectado é aberto. Em ambos os casos, o resultado é o mesmo: o código do worm é ativado. Os worms de email usam uma variedade de métodos para enviar emails infectados. Os mais comuns são: usar uma conexão direta com um servidor SMTP usando o diretório de e-mail embutido no código do worm usando os serviços do MS Outlook usando as funções do Windows MAPI. Os worms de e-mail usam várias fontes diferentes para encontrar endereços de e-mail para os quais os e-mails infectados serão enviados: o catálogo de endereços do MS Outlook, um banco de dados de endereços WAB .txt armazenado no disco rígido: o worm pode identificar quais strings são e-mails de endereços de e-mail na caixa de entrada (alguns worms de e-mail até mesmo “respondem” a e-mails encontrados na caixa de entrada) Muitos worms de e-mail usam mais de uma das fontes listadas acima. Há também outras fontes de endereços de e-mail, como catálogos de endereços associados a serviços de e-mail baseados na web.

Plataforma: VBS

O Visual Basic Scripting Edition (VBScript) é uma linguagem de script interpretada pelo Windows Script Host. O VBScript é amplamente usado para criar scripts em sistemas operacionais Microsoft Windows.

Descrição

Detalhes técnicos

Este é o worm da Internet que causou a epidemia global no início de maio de 2000. O worm se espalha via e-mail enviando mensagens infectadas de computadores afetados. Ao se espalhar, o worm usa o MS Outlook e se envia para todos os endereços que estão armazenados no Catálogo de Endereços do MS Outlook. Como resultado, um computador infectado envia tantas mensagens para quantos endereços forem mantidos na lista de contatos do MS Outlook.

O worm é escrito na linguagem de script "Visual Basic Script" (VBS). Ele opera somente em computadores nos quais o WSH (Windows Scripting Host) foi instalado. No Windows 98 e no Windows 2000, o WHS é instalado por padrão. Para se espalhar, o worm acessa o MS Outlook e usa suas funções e listas de endereços, disponíveis apenas no Outlook 98/2000, para que o worm seja capaz de se espalhar somente no caso de uma dessas versões do MS Oulook estar instalada.

Quando executado, o worm envia suas cópias por e-mail, instala-se no sistema, realiza ações destrutivas, faz o download e instala um programa de Trojan. O worm também tem a capacidade de se espalhar através dos canais mIRC.

O worm contém sequências de "direitos autorais":

barok -loveletter (vbe) <eu odeio ir para a escola>
por: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Filipinas

Espalhando

O worm chega a um computador como uma mensagem de e-mail com um arquivo VBS anexado que é o próprio worm. A mensagem na versão original do worm possui:

 O assunto: ILOVEYOU 
Corpo da mensagem: gentilmente verifique o LOVELETTER anexado vindo de mim.
Nome do arquivo anexado: LOVE-LETTER-FOR-YOU.TXT.vbs

Após a ativação por um usuário, (clicando duas vezes em um arquivo anexado) o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, obtém todos os endereços de lá e envia mensagens com a cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos acima.

O worm também se instala no sistema. Cria suas cópias nos diretórios do Windows com os nomes:

 no diretório Windows: WIN32DLL.VBS  no diretório de sistema do Windows: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS

Esses arquivos são registrados na seção de execução automática do Windows no registro do sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS

Como resultado, o worm é reativado toda vez que o Windows é inicializado.

O worm também cria um dropper HTM no diretório do sistema Windows para usá-lo durante a propagação para os canais mIRC (veja abaixo). Esta cópia tem o seguinte nome:

LOVE-LETTER-FOR-YOU.TXT.HTM

Baixando um arquivo de Trojan

Para instalar o programa Trojan no sistema, o worm modifica o URL para a página inicial do Internet Explorer. O novo URL aponta para um site da Web (selecionado aleatoriamente de quatro variantes) e força o Explorer a baixar um arquivo EXE de lá. Esse arquivo tem o nome WIN-BUGSFIX.EXE e é o programa de Trojan. O worm registra esse arquivo no registro do sistema em uma seção de execução automática:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe

Na próxima execução, o Internet Exlorer faz o download do cavalo de Troia e o armazena no diretório de download do sistema. Na próxima inicialização do Windows, o Trojan obtém o controle e copia a si mesmo para o diretório de sistema do Windows com o nome WINFAT32.EXE.

Quando o Trojan é instalado no sistema, o worm define a página inicial do Internet Explorer em branco ("about: blank").

O arquivo baixado e instalado é um Trojan que rouba senhas. Ele obtém o nome da máquina local e o endereço IP, o (s) login (s) e a (s) senha (s) da rede, as informações do RAS etc. e os envia ao host do Trojan. As amostras que foram analisadas enviam mensagens para "mailme@super.net.ph", o assunto da mensagem é semelhante ao seguinte:

Barok ... email.passwords.sender.trojan

Espalhando para os canais de IRC

O worm verifica as unidades locais e procura por arquivos:

MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP

Caso pelo menos um desses arquivos seja encontrado em um subdiretório, o worm lança um novo arquivo SCRIPT.INI para lá. Esse arquivo contém instruções mIRC que enviam uma cópia do worm (o arquivo LOVE-LETTER-FOR-YOU.TXT.HTM) para todos os usuários que ingressam no canal do IRC infectado.

O arquivo SCRIPT.INI contém os comentários:

Script mIRC
Por favor, não edite este script ... o mIRC irá corromper, se o mIRC
corrompido ... O WINDOWS afetará e não será executado corretamente. obrigado

Khaled Mardam-Bey
http://www.mirc.com

Quando um usuário de IRC recebe esse HTML infectado, ele é copiado para um diretório de download do IRC. O worm é ativado a partir desse arquivo apenas no caso de o usuário clicar nele. Como as configurações de segurança do navegador não permitem que os scripts acessem arquivos de disco e exibam uma mensagem de aviso, o worm usa um truque para evitar isso. Primeiro, ele exibe uma mensagem para enganar o usuário:

Este arquivo HTML precisa de controle ActiveX
Para ativar para ler este arquivo HTML
- Por favor, pressione o botão 'YES' para ativar o ActiveX

Caso o usuário realmente clique em 'SIM', o worm obtém acesso aos arquivos do disco e se instala no sistema. Ele descarta seu código VBS para o diretório de sistema do Windows com o nome MSKERNEL32.VBS e o registra na seção de execução automática do Windows no registro do sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

No caso de 'NO' ser escolhido, o worm intercepta o movimento do mouse e pressiona os eventos e se recarrega. Como resultado, um usuário recebe uma mensagem de aviso em um loop sem fim até pressionar 'YES'.

Ação destrutiva

O worm verifica as árvores de subdiretórios em todas as unidades locais e mapeadas disponíveis, lista todos os arquivos lá e, dependendo da extensão do nome do arquivo, executa ações:

  • VBS, VBE: o worm sobrescreve esses arquivos com seu corpo VBS. Como resultado, todos os programas VBS e VBE no sistema são sobrescritos com o código do worm.
  • JS, JSE, CSS, WSH, SCT, HTA: o worm cria um novo arquivo com um nome de arquivo original mais a extensão ".VBS" e exclui o arquivo original; Ou seja, o worm sobrescreve esses arquivos com seu código e os renomeia com a extensão VBS. Por exemplo, "TEST.JS" é "TEST.VBS".
  • JPG, JPEG: o worm faz o mesmo que acima, mas adiciona uma extensão ".VBS" ao nome completo do arquivo (não renomeia para ".VBS"). Por exemplo, "PIC1.JPG" se torna "PIC1.JPG.VBS".
  • MP2, MP3: o worm cria um novo arquivo com a extensão ".VBS" (para "SONG.MP2", o worm cria o arquivo "SONG.MP2.VBS"), grava seu código ali e configura o atributo do arquivo " oculto "para o arquivo original.

Outras variantes

O worm em si é um programa de script de texto, e é espalhado em forma de fonte de texto. O código do worm pode ser facilmente modificado por hackers e, como resultado, há muitas variantes do worm original. A maioria deles são apenas pequenos remakes e diferem do verme original apenas em detalhes - há textos de campos de mensagens alterados, diferentes nomes de arquivos, diferentes conjuntos de extensões de arquivos de disco afetados (por exemplo, .BAT e .INI).

O Assunto, o corpo da mensagem e o nome do arquivo anexado em diferentes variantes aparecem conforme listado abaixo (o primeiro bloco pertence à versão original do worm):

 Assunto / corpo / nome do anexo EU TE AMO   gentilmente verifique o LOVELETTER anexado vindo de mim. LOVE-LETTER-FOR-YOU.TXT.vbs Confirmação da ordem do dia das mães   Passamos a cobrar seu cartão de crédito pelo valor de US $ 326,92   para o dia especial das mães. Nós anexamos um detalhado   fatura para este email. Por favor, imprima o anexo e mantenha-o em   lugar seguro. Obrigado outra vez e tenha um dia de matrizes feliz!   mothersday@subdimension.com mothersday.vbs fwd: piada    - nenhum corpo da mensagem na mensagem Muito engraçado.vbs Susitikim shi vakara kavos puodukui ...   gentilmente verifique o LOVELETTER anexado vindo de mim. LOVE-LETTER-FOR-YOU.TXT.vbs Importante! Leia cuidadosamente !!   Verifique o IMPORTANTE anexado vindo de mim! IMPORTANT.TXT.vbs Aviso de vírus perigoso   Há um vírus perigoso circulando.   Por favor, clique na imagem anexada para visualizá-la e aprenda a evitá-la. virus_warning.jpg.vbs Como se proteger do bug IL0VEY0U!   Aqui está a maneira mais fácil de consertar o vírus do amor. Instruções de proteção contra vírus.vbs Obrigado por voar com a Arab Airlines   Por favor, verifique se a conta está correta, abrindo o arquivo anexado. ArabAir.TXT.vbs Bewerbung Kreolina   Sehr geehrte Damen und Herren! BEWERBUNG.TXT.vbs VEJA!   hehe ... veja isso. LOOK.vbs Teste variante   Esta é uma variante do vírus vbs. IMPORTANT.TXT.vbs Sim, sim outra hora para a morte ...   Este é o assassino para VBS.LOVE-LETTER.WORM. Vir-Killer.vbs Eu não posso acreditar nisso !!!   Eu não posso acreditar que eu apenas recebi este email do ódio. Dê uma olhada! KillEmAll.TXT.vbs Nova variação no antivírus de atualização do LOVEBUG !!   Existe agora uma nova variante do bug do amor. Foi lançado em   20:37 Sábado à noite. Por favor, faça o download do patch de atualização.   Estamos tentando isolar o vírus. Obrigado Symantec. antivirusupdate.vbs IMPORTANTE: vírus oficial e correção de bug   Este é um vírus oficial e correção de bug. Eu peguei do nosso administrador do sistema.   Pode demorar um pouco para atualizar seus arquivos de sistema depois de executar o   anexo. Bug e virus fix.vbs Ataques com vírus recentes-Fix   Em anexo, há uma cópia de um script que reverterá o efeito de   o LOVE-LETTER-TO-YOU.TXT.vbs, bem como o FW: JOKE,   Dia das Mães e Irmãos Lituanos. BAND-AID.DOC.vbs PresenteUOL   O UOL tem um grande presente para voce, e eh exclusivo.   Veja o arquivo em anexo.   http://www.uol.com.br UOL.TXT.vbs BUG & VIRUS FIX   Eu recebi isso do nosso administrador do sistema. Execute isto para ajudar a evitar um recente ou recente   futuros ataques de vírus e bugs. Pode demorar um pouco para atualizar seus arquivos. GRANDE ERRO & VÍRUS FIX.vbsSENHAS DE SEXO GRÁTIS   Confira ; SENHAS LIVRES DO SEX SITE. PASSWORDS SEXSITE GRÁTIS.HTML.vbs Você pode ganhar US $ 1.000.000! 1 clique fora   Por favor, verifique o anexo WIN vindo de mim. WIN.vbs Avisos de vírus !!!   MUITO IMPORTANTE, POR FAVOR, LEIA ESTE TEXTO. ANEXO DE TEXTO. muito-importante-txt.vbs COMO VENCER VÍRUS   gentilmente verifique as INFORMAÇÕES DE VÍRUS anexadas vindas de mim.   É assim que você pode ser imune a qualquer vírus. Isso realmente ajuda muito! HOW_TO_BEAT_VIRUSES.TXT.vbsVocê deve ler isso!   Você leu este texto? Você deve fazer isso !! C: NOTES.TXT.exeNovo vírus descoberto!   Um novo vírus foi descoberto! Seu nome é @ - @ Alha e Omega @ - @.   Lista completa de habilidades de vírus está incluída no arquivo anexado @ - @ info.txt @ - @.   Para a última informação, acesse a página da McAfee   Por favor, envie essa mensagem para todos que você gosta. info.txt.vbs Gostaria que estivesse aqui!   Gostaria que estivesse aqui! Estou tendo um ótimo momento! Queria que você estivesse aqui! .postcard.vbs

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com

Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!
Kaspersky Next:
cibersegurança redefinida
Saber mais
Novo Kaspersky!
Sua vida dgital merece proteção completa!
Saber mais
Confirm changes?
Your message has been sent successfully.