ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.VBS.SSIWG

Classe Email-Worm
Plataforma VBS
Descrição

Detalhes técnicos

Este é o worm " Internet " da LoveLetter, que se espalha via e-mail, enviando mensagens infectadas de computadores infectados. Ao se espalhar, o worm usa o MS Outlook e se envia para todos os endereços que estão armazenados no Catálogo de Endereços do MS Outlook.

A versão conhecida do worm tem um erro (uma instrução é digitada incorretamente) e o worm não consegue distribuir suas cópias por meio de mensagens de e-mail. Além disso, o erro pode ser facilmente corrigido e o worm poderá se espalhar.

O worm é capaz de se propagar através de uma rede local. Para fazer isso, o worm enumera recursos de rede e copia a si mesmo para lá. O worm não pode se ativar em um computador remoto e o infecta apenas no caso de a cópia do worm ser executada ocasionalmente por um usuário.

O worm em si é um programa de script VBS.

O worm chega como uma mensagem de e-mail com:

Assunto: Eu estou sentindo falta de você
Corpo da mensagem: Você poderia lembrar de mim?
Nome do anexo: Y072QWV.VBS

Ao ser ativado por um usuário, o worm se copia para o diretório do sistema Windows com o mesmo nome (Y072QWV.VBS) e registra essa cópia na seção de execução automática no registro do sistema:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Y072QWV" =% Windir% Y072QWV.VBS

onde "Windir" é o nome do diretório do sistema Windows.

O worm então se espalha através de uma rede local copiando seu arquivo "Y072QWV.VBS" para o diretório raiz nas unidades compartilhadas para gravação.

Para enviar mensagens infectadas, o worm se conecta ao MS Outlook, obtém todos os endereços do catálogo de endereços e envia para lá suas mensagens (o assunto, o corpo e o nome do anexo são os mesmos listados acima).

Como o worm se registra na seção de registro de execução automática, ele é ativado em cada inicialização do Windows, mas não se espalha pelas mensagens de e-mail toda vez que é executado. O worm tem um contador que é armazenado no registro do Windows:

HKEY_LOCAL_MACHINE "Y072QWV" = número

onde "número" é o número de partidas (a cada início, o worm aumenta esse contador). Quando o contador atinge 20, o worm redefine para zero e, em seguida, executa uma rotina de infecção do Outlook. Caso contrário, o worm a ignora.

Como resultado, o worm envia mensagens infectadas somente na primeira execução (sendo ativado a partir de uma mensagem infectada) e a cada 20 reinicialização. A rotina de propagação da rede local é ativada toda vez que o worm é iniciado.

O worm tem um recurso que torna sua detecção um pouco mais difícil. Todas as strings de texto no código do worm são ligeiramente criptografadas e, em caso de necessidade, o worm descriptografa e as utiliza.


Link para o original