Email-Worm.VBS.Peach

Detalhes técnicos

Esse worm da internet se espalha por mensagens de e-mail e se envia de PCs infectados quando é ativado. Ele usa o sistema de e-mail do Microsoft Outlook para se enviar para destinatários, cujos e-mails são armazenados no Catálogo de Endereços do Outlook.

O worm é escrito na linguagem de programação Visual Basic Script (VBS). Ele funciona somente em sistemas operacionais com o Windows Scripting Host instalado (o WSH é instalado por padrão no Windows 98 e no Windows 2000).

O worm usa um arquivo PDF como host. O código do vírus é incluído nesse arquivo como um objeto incorporado, e o worm pode ser ativado apenas manualmente.

Quando um arquivo PDF é aberto pelo programa Adobe Acrobat (o worm não funciona no Acrobat Reader), um usuário é oferecido para jogar um jogo simples, que é armazenado em um objeto incorporado.

Depois que o objeto incorporado é ativado, o programa Adobe Acrobat (http://www.adobe.com/acrobat) extrai o código VBS, grava-o em uma pasta tempopary e o inicia.

O código do vírus cria um arquivo JPG em um disco e o mostra usando o Internet Explorer.

Em seguida, o worm tenta localizar o arquivo PDF host no disco e, se encontrar o arquivo, o envia aos destinatários especificados no Catálogo de endereços do Outlook.

Para se enviar, o worm escolhe aleatoriamente um nome de anexo, assunto e corpo da mensagem.

O assunto da mensagem pode conter as seguintes strings:

"Você tem um minuto para encontrar o pêssego"
"Encontre o pêssego"
"Encontrar"
"Pêssego"
"Gracejo"

O assunto também pode conter o prefixo "FW:" e um ponto de exclamação no final dele.

O corpo da mensagem é montado a partir das seguintes sentenças:

"Tente encontrar o pêssego"
"Tente isso"
"Pesquisa interessante"
"Eu não costumo enviar essas coisas, mas …"

O nome do anexo pode ser o seguinte:

"find.pdf"
"peach.pdf"
"encontrar o peach.pdf"
"find_the_peach.pdf"
"joke.pdf"
"search.pdf"

O worm usa um algoritmo muito complexo para se enviar, às vezes resultando no envio do worm.