Kaspersky Threats — Scrapworm

Classe

Plataforma

Descrição

Detalhes técnicos

Este é o worm da Internet encontrado em meados de junho de 2000. O worm se espalha via e-mail enviando mensagens infectadas de computadores afetados. Ao se espalhar, o worm usa o MS Outlook e se envia para endereços que são selecionados aleatoriamente no Catálogo de Endereços do MS Outlook.

O worm é escrito na linguagem de script "Visual Basic Script" (VBS). Ele funciona somente em computadores nos quais o WSH (Windows Scripting Host) está instalado. No Windows 98 e no Windows 2000, o WHS é instalado por padrão. Para se espalhar, o worm acessa o MS Outlook e usa suas funções e listas de endereços. Isso está disponível apenas no Outlook 98/2000, então o worm é capaz de se espalhar somente no caso de uma dessas versões do MS Oulook ser instalada.

Quando executado, o worm envia suas cópias via e-mail, instala-se no sistema e copia-se para as unidades de rede. O worm também tem a capacidade de se espalhar através dos canais mIRC.

O worm contém uma string "copyright":

'MIRC / NETWORK / OUTLOOK / PIRCH.ShellScrapWorm por SimpleSimon / Zulu

Espalhando

O worm chega a um computador como uma mensagem de e-mail com um arquivo SHS anexado, que é um pacote de sucata com um worm dentro. O assunto da mensagem pode ser diferente e é combinado a partir de três conjuntos de strings:

"Fw:", ""
"Estágios da vida", "Engraçado", "Piadas"
"texto", ""

Exemplos:

Fw: Piadas
Estágios da vida
Texto engraçado

O corpo da mensagem pode estar vazio ou um deles está presente:

> As fases masculina e feminina da vida.
> As fases masculina e feminina da vida. Tchau.

A mensagem tem o arquivo anexado "LIFE_STAGES.TXT.SHS" que contém o worm dentro.

Dependendo das configurações do sistema, a extensão real do arquivo anexado (".SHS") pode não ser mostrada. Nesse caso, o nome do arquivo anexado é exibido como "LIFE_STAGES.TXT".

Sendo ativado por um usuário (clicando duas vezes no arquivo anexado), o pacote de sucata (arquivo SHS) ativa seu conteúdo. Assim que o arquivo anexado contém o arquivo VBS dentro, contendo um programa de script do Visual Basic, esse arquivo é executado e o script do worm ganha controle.

O worm cria um arquivo de texto no diretório temporário e o exibe usando o editor de texto. O conteúdo do arquivo é:

– As etapas masculinas da vida:

Era. Linhas de sedução.
17 Meus pais estão ausentes no fim de semana.
25 Minha namorada está ausente no fim de semana.
35 Minha noiva está ausente no fim de semana.
48 Minha esposa está ausente no fim de semana.
66 Minha segunda esposa está morta.

Era. Esporte favorito.
17 sexo.
25 sexo.
35 sexo.
48 Sexo.
66 cochilando.

Era. Definição de uma data de sucesso.
17 línguas.
25 café da manhã.
35 Ela não atrasou minha terapia.
48 Eu não tive que conhecer seus filhos.
66 Cheguei em casa vivo.

– As fases femininas da vida:

Era. Fantasia favorita.
17 Alto, moreno e bonito.
25 Alto, moreno e bonito com dinheiro.
35 Alto, moreno e bonito com dinheiro e cérebro.
48 Um homem com cabelo.
66 homem.

Era. Data ideal.
17 Ele se oferece para pagar.
25 ele paga.
35 Ele cozinha o café da manhã na manhã seguinte.
48 Ele cozinha café da manhã na manhã seguinte para as crianças.
66 Ele pode mastigar seu café da manhã.

Depois disso, o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, obtém cem endereços aleatórios de cada lista de endereços e envia mensagens com sua cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos que os acima mencionados.

O worm também se instala no sistema. Cria suas cópias nos diretórios do Windows com os nomes:

no diretório Windows: LIFE_STAGES.TXT.SHS
no diretório de sistema do Windows: MSINFO16.TLB
no Recicle bin: MSRCYCLD.DAT

Em seguida, o worm cria suas cópias com nomes aleatórios nos diretórios raiz de todos os discos rígidos locais e também nas pastas "Programas" e "Meus Documentos". Se uma pasta de inicialização do Windows existir na unidade de rede, o worm se copia lá.

O worm também descarta arquivos:

no diretório de sistema do Windows: SCANREG.VBS

– este worm de arquivo é registrado no registro do sistema na seção de execução automática a ser executada em cada inicialização do Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesScanReg = "WSCRIPT.EXE SCANREG.VBS"

– o worm cria uma cópia deste arquivo na lixeira:

RCYCLDBN.DAT

no diretório Windows: DBINDEX.VBS

– este worm de arquivo é registrado no registro do sistema na seção ICQ a ser executada em cada inicialização do ICQ:

HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQEnable = "Sim"
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQParameters = "C: RECYCLEDDBINDEX.VBS"
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQPath = "WSCRIPT.EXE"
HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQStartup = "C: WINDOWS"

– o worm cria uma cópia deste arquivo no diretório de sistema do Windows:

VBASET.OLB

Como resultado, o worm é reativado toda vez que o Windows é inicializado ou o ICQ é iniciado.

Espalhando para os canais de IRC

O worm verifica as unidades locais e procura por um arquivo MIRC.INI. Caso este arquivo seja encontrado em um subdiretório, o worm descartará um arquivo SOUND32B.DLL. Este arquivo contém instruções mIRC que enviam uma cópia do worm (arquivo LIFE_STAGES.TXT.SHS) para todos os usuários que ingressam no canal do IRC infectado. No MIRC.INI, o worm de arquivo adiciona a referência ao SOUND32B.DLL na seção "rfiles".

De outros

O worm move o programa REGEDIT.EXE para a Lixeira com o nome RECYCLED.VXD.

Link para o original

Classe	Email-Worm
Plataforma	VBS
Descrição	Detalhes técnicos Este é o worm da Internet encontrado em meados de junho de 2000. O worm se espalha via e-mail enviando mensagens infectadas de computadores afetados. Ao se espalhar, o worm usa o MS Outlook e se envia para endereços que são selecionados aleatoriamente no Catálogo de Endereços do MS Outlook. O worm é escrito na linguagem de script "Visual Basic Script" (VBS). Ele funciona somente em computadores nos quais o WSH (Windows Scripting Host) está instalado. No Windows 98 e no Windows 2000, o WHS é instalado por padrão. Para se espalhar, o worm acessa o MS Outlook e usa suas funções e listas de endereços. Isso está disponível apenas no Outlook 98/2000, então o worm é capaz de se espalhar somente no caso de uma dessas versões do MS Oulook ser instalada. Quando executado, o worm envia suas cópias via e-mail, instala-se no sistema e copia-se para as unidades de rede. O worm também tem a capacidade de se espalhar através dos canais mIRC. O worm contém uma string "copyright": 'MIRC / NETWORK / OUTLOOK / PIRCH.ShellScrapWorm por SimpleSimon / Zulu Espalhando O worm chega a um computador como uma mensagem de e-mail com um arquivo SHS anexado, que é um pacote de sucata com um worm dentro. O assunto da mensagem pode ser diferente e é combinado a partir de três conjuntos de strings: "Fw:", "" "Estágios da vida", "Engraçado", "Piadas" "texto", "" Exemplos: Fw: Piadas Estágios da vida Texto engraçado O corpo da mensagem pode estar vazio ou um deles está presente: > As fases masculina e feminina da vida. > As fases masculina e feminina da vida. Tchau. A mensagem tem o arquivo anexado "LIFE_STAGES.TXT.SHS" que contém o worm dentro. Dependendo das configurações do sistema, a extensão real do arquivo anexado (".SHS") pode não ser mostrada. Nesse caso, o nome do arquivo anexado é exibido como "LIFE_STAGES.TXT". Sendo ativado por um usuário (clicando duas vezes no arquivo anexado), o pacote de sucata (arquivo SHS) ativa seu conteúdo. Assim que o arquivo anexado contém o arquivo VBS dentro, contendo um programa de script do Visual Basic, esse arquivo é executado e o script do worm ganha controle. O worm cria um arquivo de texto no diretório temporário e o exibe usando o editor de texto. O conteúdo do arquivo é: – As etapas masculinas da vida: Era. Linhas de sedução. 17 Meus pais estão ausentes no fim de semana. 25 Minha namorada está ausente no fim de semana. 35 Minha noiva está ausente no fim de semana. 48 Minha esposa está ausente no fim de semana. 66 Minha segunda esposa está morta. Era. Esporte favorito. 17 sexo. 25 sexo. 35 sexo. 48 Sexo. 66 cochilando. Era. Definição de uma data de sucesso. 17 línguas. 25 café da manhã. 35 Ela não atrasou minha terapia. 48 Eu não tive que conhecer seus filhos. 66 Cheguei em casa vivo. – As fases femininas da vida: Era. Fantasia favorita. 17 Alto, moreno e bonito. 25 Alto, moreno e bonito com dinheiro. 35 Alto, moreno e bonito com dinheiro e cérebro. 48 Um homem com cabelo. 66 homem. Era. Data ideal. 17 Ele se oferece para pagar. 25 ele paga. 35 Ele cozinha o café da manhã na manhã seguinte. 48 Ele cozinha café da manhã na manhã seguinte para as crianças. 66 Ele pode mastigar seu café da manhã. Depois disso, o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, obtém cem endereços aleatórios de cada lista de endereços e envia mensagens com sua cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos que os acima mencionados. O worm também se instala no sistema. Cria suas cópias nos diretórios do Windows com os nomes: no diretório Windows: LIFE_STAGES.TXT.SHS no diretório de sistema do Windows: MSINFO16.TLB no Recicle bin: MSRCYCLD.DAT Em seguida, o worm cria suas cópias com nomes aleatórios nos diretórios raiz de todos os discos rígidos locais e também nas pastas "Programas" e "Meus Documentos". Se uma pasta de inicialização do Windows existir na unidade de rede, o worm se copia lá. O worm também descarta arquivos: no diretório de sistema do Windows: SCANREG.VBS – este worm de arquivo é registrado no registro do sistema na seção de execução automática a ser executada em cada inicialização do Windows: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesScanReg = "WSCRIPT.EXE SCANREG.VBS" – o worm cria uma cópia deste arquivo na lixeira: RCYCLDBN.DAT no diretório Windows: DBINDEX.VBS – este worm de arquivo é registrado no registro do sistema na seção ICQ a ser executada em cada inicialização do ICQ: HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQEnable = "Sim" HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQParameters = "C: RECYCLEDDBINDEX.VBS" HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQPath = "WSCRIPT.EXE" HKEY_USERS.DEFAULTSoftwareMirabilisICQAgentAppsICQStartup = "C: WINDOWS" – o worm cria uma cópia deste arquivo no diretório de sistema do Windows: VBASET.OLB Como resultado, o worm é reativado toda vez que o Windows é inicializado ou o ICQ é iniciado. Espalhando para os canais de IRC O worm verifica as unidades locais e procura por um arquivo MIRC.INI. Caso este arquivo seja encontrado em um subdiretório, o worm descartará um arquivo SOUND32B.DLL. Este arquivo contém instruções mIRC que enviam uma cópia do worm (arquivo LIFE_STAGES.TXT.SHS) para todos os usuários que ingressam no canal do IRC infectado. No MIRC.INI, o worm de arquivo adiciona a referência ao SOUND32B.DLL na seção "rfiles". De outros O worm move o programa REGEDIT.EXE para a Lixeira com o nome RECYCLED.VXD.
	Link para o original

Email-Worm.VBS.Scrapworm

Detalhes técnicos

Espalhando

Espalhando para os canais de IRC

De outros