ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.VBS.Lucky

Classe Email-Worm
Plataforma VBS
Descrição

Detalhes técnicos

Esta é uma família de worm da Internet que se espalha via e-mail, enviando mensagens infectadas de computadores infectados. Durante a propagação, os worms usam o MS Outlook e enviam-se para todos os endereços que estão armazenados no Catálogo de Endereços do MS Outlook. Como resultado, um computador infectado envia tantas mensagens para quantos endereços forem mantidos na lista de contatos do MS Outlook.

Existem duas variantes de worm conhecidas. Ambos têm bugs em seu código e não são capazes de se espalhar, mas esses bugs podem ser facilmente corrigidos por um hacker.

Os worms são escritos na linguagem de script "Visual Basic Script" (VBS) e funcionam somente em computadores nos quais o WSH (Windows Scripting Host) está instalado. No Windwos 98 e no Windows 2000, o WHS é instalado por padrão. Para se espalhar, os worms acessam o MS Outlook e usam suas funções e listas de endereços. Isso está disponível apenas no Outlook 98/2000, portanto, os worms podem se espalhar somente quando uma dessas versões do MS Oulook é instalada.

Espalhando

O worm chega a um computador como uma mensagem de e-mail com um arquivo VBS anexado que é o próprio worm. A mensagem na versão original do worm contém:

O assunto: Prinz Charles Are Die
Corpo da mensagem: A mais nova mensagem para o Cool User. Lucky2000
Nome do arquivo anexado: COOL_NOTEPAD_DEMO.TXT.vbs

Dependendo das configurações do sistema, a extensão real de um arquivo anexado (".vbs") pode não ser mostrada. Nesse caso, o nome do arquivo do arquivo anexado é exibido como "COOL_NOTEPAD_DEMO.TXT".

Ao ser ativado por um usuário (clicando duas vezes no arquivo anexado), o worm dispealys a seguinte mensagem:

eXposed
eXposed está sendo instalado

Em seguida, ele cria um atalho na área de trabalho para um arquivo PIF que sai do Windows. O worm define um ícone de atalho para um arquivo não existente, de modo que o atalho tem um ícone padrão – um sinalizador do Windows com fundo branco. Depois disso, o worm exibe a seguinte mensagem:

CLIQUE NO ÍCONE DA GARRAFA AZUL NO QUADRO DE MESA OU SEU DISCO RÍGIDO SERÁ PERDIDO!
EXPOSTA É UM VÍRUS DANIFICARÁ O SEU COMPUTADOR

Então o worm começa a espalhar – ele abre o MS Outlook, obtém acesso ao Address Book, obtém todos os endereços de lá e envia mensagens com a cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos acima.

O worm também se instala no sistema. Ele cria sua cópia no diretório do Windows com o nome "Prinz_Charles_Are_Die.TXT.vbs":

Este arquivo é então registrado na seção de execução automática do Windows no registro do sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunPrinz_Charles_Are_Die = Prinz_Charles.Are.Die.TXT.vbs

Como resultado, o worm é reativado toda vez que o Windows é inicializado.

Outras variantes

O worm em si é um programa de script de texto, e é espalhado em forma de fonte de texto. O código do worm pode ser facilmente modificado por hackers e, como resultado, existem muitas variantes do worm que podem ter aparecido. Geralmente apenas pequenas alterações são feitas.

I-Worm.Lucky.b

Esta variante do worm é muito próxima da primeira. Ao ser ativado, exibe outras mensagens:

Preço
O preço está aqui

e:

CLIQUE NO ÍCONE DA GARRAFA AZUL NA MESA E VOCÊ GANHA UM MILHÃO DE DÓLAR !!!

A mensagem infectada contém:

O assunto: Won_a_Price
Corpo da mensagem: um milhão de dólares para você. Lucky2000
Nome do arquivo anexado: Won_a_Price.TXT.vbs


Link para o original