ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.VBS.Talorm

Classe Email-Worm
Plataforma VBS
Descrição

Detalhes técnicos

Talorm é um vírus worm que se espalha pela Internet como um anexo a e-mails infectados e se copia para os canais de IRC. O worm em si é um arquivo CHM (arquivo HTML compactado) com cerca de 17KB de comprimento.

Mensagens infectadas têm os seguintes recursos:

O texto da linha de assunto é selecionado aleatoriamente a partir das seguintes variantes:

  - Fotos de Thalia
  - fotos grátis
  - Fotos XXX de Thalia
  - Fotos Exitantes de Thalia

O corpo do texto é selecionado aleatoriamente a partir das seguintes variantes:

  - Checa estas fotos de Thalia
  - Hola que tal? Você está em super fotos exitantes de Thalia
  - Como tas! aqui te mando unas fotos de Thalia
  - Para mis mejores Amigos fotos de Thalia
  - Fotos XXX de Thalia
  - fotos de bien padres de Thalia
  - Imagenes insolitas de Thalia
  - Como já foi visto desnuda a Thalia
  - HOLA! TE RETO A CHECAR ESTAS FOTOS BIEN CHIDAS DE Thalia
  - Fotos Exitantes de la cantante Thalia

 Anexar: Thalia.chm

Um exemplo de mensagem de email "Talorm":

O worm é ativado a partir de emails infectados somente quando um usuário clica no arquivo anexado. Se isso acontecer, o Talorm se instala no sistema e executa sua rotina de distribuição.

O worm então substitui uma chave de registro por um novo texto:

 HKLMSoftwareMicrosoftWindowsCurrentVersion
  RegisteredOwner = Thalia "

e exibe a mensagem:

Instalando

Durante a instalação, o worm copia a si mesmo para o diretório do Windows com o nome "Thalia.chm" e registra esse arquivo na chave de execução automática do registro do sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  Thalia =% WinDir% Thalia.CHM

Espalhando: E-mail

Para enviar mensagens infectadas, o worm usa o MS Outlook e envia mensagens para todos os endereços encontrados no catálogo de endereços do Outlook de cada máquina vítima.

Espalhando: IRC

O worm procura pelo subdiretório mIRC no diretório "Arquivos de Programas" e grava um novo arquivo "script.ini" neste local. Este arquivo de script tem instruções que enviam cópias de worm para todos os usuários que ingressam em um canal de IRC infectado.


Link para o original