ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.
Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe | Email-Worm |
Plataforma | VBS |
Descrição |
Detalhes técnicosEste é o worm da Internet encontrado em meados de junho de 2000. O worm se espalha via e-mail enviando mensagens infectadas de computadores afetados. Ao se espalhar, o worm usa o MS Outlook e se envia para endereços que são selecionados aleatoriamente no Catálogo de Endereços do MS Outlook. O worm é escrito na linguagem de script "Visual Basic Script" (VBS). Ele funciona somente em computadores nos quais o WSH (Windows Scripting Host) está instalado. No Windows 98 e no Windows 2000, o WHS é instalado por padrão. Para se espalhar, o worm acessa o MS Outlook e usa suas funções e listas de endereços. Isso está disponível apenas no Outlook 98/2000, então o worm é capaz de se espalhar somente no caso de uma dessas versões do MS Oulook ser instalada. Quando executado, o worm envia suas cópias via e-mail, instala-se no sistema e copia-se para as unidades de rede. O worm também tem a capacidade de se espalhar através dos canais mIRC. O worm contém uma string "copyright":
EspalhandoO worm chega a um computador como uma mensagem de e-mail com um arquivo SHS anexado, que é um pacote de sucata com um worm dentro. O assunto da mensagem pode ser diferente e é combinado a partir de três conjuntos de strings:
Exemplos:
O corpo da mensagem pode estar vazio ou um deles está presente:
A mensagem tem o arquivo anexado "LIFE_STAGES.TXT.SHS" que contém o worm dentro. Dependendo das configurações do sistema, a extensão real do arquivo anexado (".SHS") pode não ser mostrada. Nesse caso, o nome do arquivo anexado é exibido como "LIFE_STAGES.TXT". Sendo ativado por um usuário (clicando duas vezes no arquivo anexado), o pacote de sucata (arquivo SHS) ativa seu conteúdo. Assim que o arquivo anexado contém o arquivo VBS dentro, contendo um programa de script do Visual Basic, esse arquivo é executado e o script do worm ganha controle. O worm cria um arquivo de texto no diretório temporário e o exibe usando o editor de texto. O conteúdo do arquivo é:
Depois disso, o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, obtém cem endereços aleatórios de cada lista de endereços e envia mensagens com sua cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos que os acima mencionados. O worm também se instala no sistema. Cria suas cópias nos diretórios do Windows com os nomes:
Em seguida, o worm cria suas cópias com nomes aleatórios nos diretórios raiz de todos os discos rígidos locais e também nas pastas "Programas" e "Meus Documentos". Se uma pasta de inicialização do Windows existir na unidade de rede, o worm se copia lá. O worm também descarta arquivos:
Como resultado, o worm é reativado toda vez que o Windows é inicializado ou o ICQ é iniciado. Espalhando para os canais de IRCO worm verifica as unidades locais e procura por um arquivo MIRC.INI. Caso este arquivo seja encontrado em um subdiretório, o worm descartará um arquivo SOUND32B.DLL. Este arquivo contém instruções mIRC que enviam uma cópia do worm (arquivo LIFE_STAGES.TXT.SHS) para todos os usuários que ingressam no canal do IRC infectado. No MIRC.INI, o worm de arquivo adiciona a referência ao SOUND32B.DLL na seção "rfiles". De outrosO worm move o programa REGEDIT.EXE para a Lixeira com o nome RECYCLED.VXD. |
Link para o original |
|
Descubra as estatísticas das ameaças que se espalham em sua região |