ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.
Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe | Email-Worm |
Plataforma | VBS |
Descrição |
Detalhes técnicosEsse worm da Internet se espalha por email, enviando mensagens infectadas dos computadores afetados. Ao se espalhar, o worm usa o MS Outlook e se envia para todos os endereços que estão armazenados no Catálogo de Endereços do MS Outlook. Como resultado, um computador infectado envia quantas mensagens para tantos endereços armazenados na Lista de Contatos do MS Outlook. O worm é escrito na linguagem de script "Visual Basic Script" (VBS). Ele funciona somente em computadores nos quais o WSH (Windows Scripting Host) foi instalado. No Windows 98 e no Windows 2000, o WHS é instalado por padrão. Para se espalhar, o worm acessa o MS Outlook e usa suas funções e listas de endereços. Isso está disponível apenas no Outlook 98/2000, portanto, o worm é capaz de se propagar somente no caso de uma dessas versões do MS Outlook estar instalada. Quando executado, o worm envia suas cópias por e-mail e descarta um programa de Trojan. EspalhandoO worm chega a um computador como uma mensagem de e-mail com um arquivo VBS anexado que é o próprio worm. A mensagem contém o seguinte: O assunto :
Corpo da mensagem :
Nome do arquivo anexado :
Dependendo das configurações do sistema, a extensão real do arquivo anexado (".vbs") pode não ser mostrada. Nesse caso, um nome de arquivo do arquivo anexado é exibido como "TIMOFONICA.TXT". Sendo ativado por um usuário (clicando duas vezes no arquivo anexo), o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, recupera todos os endereços e envia mensagens com a cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos acima. Além disso, em cada mensagem infectada enviada, o worm envia outra mensagem para um endereço (numérico) gerado aleatoriamente no host "correo.movistar.net", por exemplo "639867159@correo.movistar.net". A mensagem contém o seguinte: Assunto :
Corpo :
Na verdade, o "correo.movistar.net" é um portão SMS que envia mensagens SMS para números de telefone. O número é o prefixo do endereço de e-mail na mensagem. Como resultado, o worm tenta enviar spam para as pessoas com mensagens SMS. O worm envia tantas mensagens SMS para números selecionados aleatoriamente quanto há e-mails armazenados no catálogo de endereços (o worm envia uma mensagem SMS para cada mensagem de e-mail infectada), também instalando um programa de Trojan. Instalando um programa TrojanPara instalar o programa Trojan no sistema, o worm cria um arquivo "Cmos.com" no diretório do sistema Windows e grava um código (armazenado no corpo do worms) no arquivo. O worm registra esse arquivo no registro do sistema na seção de execução automática:
Durante a próxima inicialização do Windows, o Trojan assume o controle, apaga as informações do CMOS e corrompe as informações nos discos locais. O worm cria o arquivo "C: TIMOFONICA.TXT" com o seguinte conteúdo:
Em seguida, o worm modifica o registro do sistema para exibir esse conteúdo de arquivo (na janela do Notepad) em vez de executar qualquer arquivo VBS. Para restaurar a funcionalidade normal da associação de arquivos VBS, execute a seguinte janela na janela Prompt de Comando: WSCRIPT // H: WSCRIPT |
Link para o original |
|
Descubra as estatísticas das ameaças que se espalham em sua região |