Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este worm se espalha nas mensagens de e-mail. O worm em si é um arquivo DOS EXE com cerca de 30K de comprimento. Quando executado, ele se instala no diretório do Windows com o nome TYPEDEF.EXE e se registra em um arquivo WIN.INI na seção de execução automática. Para ocultar sua atividade, o worm exibe uma mensagem falsa e sai:

PKSFX Self Extraction Utility Versão 2.50 03-01-1999
Copr. 1989-1999 PKWARE Inc. Todos os direitos reservados. Versão de Shareware
Reg. PKZIP US Pat. e Tm. Fora. Patente No. 5.051.745

Erro no SFX – Não é possível extrair !!

Durante a instalação, o worm experimenta quatro variantes "codificadas" do nome de diretório do Windows: C: WINDOWS, C: WIN95, C: WIN98, C: WINNT e falha ao instalar-se quando o Windows é instalado no diretório com nome diferente.

Upo a próxima inicialização do Windows, a cópia do worm é ativada como um arquivo TYPEDEF.EXE a partir do diretório do Windows. O worm executa um contador que é armazenado no arquivo TYPEDEF.INI e é incrementado no início de cada arquivo TYPEDEF.EXE (ou seja, em cada inicialização do Windows). Dependendo do contador (uma vez por três execuções), o worm cria um arquivo TYPEDEF.VBS e grava um programa VisualBasicScript para lá, que envia a cópia do worm anexada às mensagens de e-mail.

Esse programa abre o MS Outlook, lê endereços de e-mail do AddressBook e envia mensagens para todos eles. O assunto da mensagem é: "Check this out". O texto da mensagem e o nome do arquivo anexado são selecionados aleatoriamente entre oito variantes:

Parece que o Internet Explorer 5 tem algum tipo de bug que deixa alguns furos de segurança e permite que alguém grave arquivos no seu sistema. Eu baixei essa correção. Estou enviando como uma attatchment.
Anexar: IE5FIX.EXE

Eu encontrei algo para ajudar a se livrar desses anúncios irritantes que surgem quando você vai a alguns sites. Estou enviando como uma attatchment.
Anexar: NOADS.EXE

Aqui estão algumas imagens que você pode gostar. Você realmente precisa verificá-los.
Anexar: IMAGES.EXE

Estou enviando algumas das melhores imagens conhecidas pelo homem. Você pode querer verificá-los.
Anexar: COOLPICS.EXE

Por favor, dê uma olhada nestes documentos. Estou enviando-os compactados em um auto extrator.
Anexar: DOCS.EXE

Estou enviando a configuração da versão mais recente do shareware do PKZip. Dá excelentes taxas de compressão. Você pode querer instalá-lo.
Anexar: PKSETUP.EXE

Eu baixei um patch para algum bug no Internet Explorer. Estou enviando como uma attatchment.
Anexar: PATCH.EXE

Eu baixei um protetor de tela com efeitos legais. Estou lhe enviando sua instalação. Experimente
Anexar: SCRNSAVE.EXE

Também dependendo do contador, o worm exibe o texto:

 ------ -
 - - - -
  - ---- ---- ---- ---- -
  - - - - - - - -----
  - - - ---- ---- ------ - -
  - - - - - - - -
 ---- ---- ---- ---- ----- --- -

                                ----- --- -
                                - - - -
                                --- --- - --- -
                                  --- - - - -----
                                    --- ----- - ----- - -
                                - - - - - - - - -
                                 ----- --- - --- --- - --- -

!!! e ovos mexidos !!!
I-WORM.TSSE
Codificado por [Offset]

O worm também contém as strings de texto:

A salada lançada e ovos mexidos Worm = I-Worm.TSSE. Codificado por [Offset]

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Email-Worm
Plataforma	VBS
Descrição	Detalhes técnicos Este worm se espalha nas mensagens de e-mail. O worm em si é um arquivo DOS EXE com cerca de 30K de comprimento. Quando executado, ele se instala no diretório do Windows com o nome TYPEDEF.EXE e se registra em um arquivo WIN.INI na seção de execução automática. Para ocultar sua atividade, o worm exibe uma mensagem falsa e sai: PKSFX Self Extraction Utility Versão 2.50 03-01-1999 Copr. 1989-1999 PKWARE Inc. Todos os direitos reservados. Versão de Shareware Reg. PKZIP US Pat. e Tm. Fora. Patente No. 5.051.745 Erro no SFX – Não é possível extrair !! Durante a instalação, o worm experimenta quatro variantes "codificadas" do nome de diretório do Windows: C: WINDOWS, C: WIN95, C: WIN98, C: WINNT e falha ao instalar-se quando o Windows é instalado no diretório com nome diferente. Upo a próxima inicialização do Windows, a cópia do worm é ativada como um arquivo TYPEDEF.EXE a partir do diretório do Windows. O worm executa um contador que é armazenado no arquivo TYPEDEF.INI e é incrementado no início de cada arquivo TYPEDEF.EXE (ou seja, em cada inicialização do Windows). Dependendo do contador (uma vez por três execuções), o worm cria um arquivo TYPEDEF.VBS e grava um programa VisualBasicScript para lá, que envia a cópia do worm anexada às mensagens de e-mail. Esse programa abre o MS Outlook, lê endereços de e-mail do AddressBook e envia mensagens para todos eles. O assunto da mensagem é: "Check this out". O texto da mensagem e o nome do arquivo anexado são selecionados aleatoriamente entre oito variantes: Parece que o Internet Explorer 5 tem algum tipo de bug que deixa alguns furos de segurança e permite que alguém grave arquivos no seu sistema. Eu baixei essa correção. Estou enviando como uma attatchment. Anexar: IE5FIX.EXE Eu encontrei algo para ajudar a se livrar desses anúncios irritantes que surgem quando você vai a alguns sites. Estou enviando como uma attatchment. Anexar: NOADS.EXE Aqui estão algumas imagens que você pode gostar. Você realmente precisa verificá-los. Anexar: IMAGES.EXE Estou enviando algumas das melhores imagens conhecidas pelo homem. Você pode querer verificá-los. Anexar: COOLPICS.EXE Por favor, dê uma olhada nestes documentos. Estou enviando-os compactados em um auto extrator. Anexar: DOCS.EXE Estou enviando a configuração da versão mais recente do shareware do PKZip. Dá excelentes taxas de compressão. Você pode querer instalá-lo. Anexar: PKSETUP.EXE Eu baixei um patch para algum bug no Internet Explorer. Estou enviando como uma attatchment. Anexar: PATCH.EXE Eu baixei um protetor de tela com efeitos legais. Estou lhe enviando sua instalação. Experimente Anexar: SCRNSAVE.EXE Também dependendo do contador, o worm exibe o texto: ------ - - - - - - ---- ---- ---- ---- - - - - - - - - ----- - - - ---- ---- ------ - - - - - - - - - - ---- ---- ---- ---- ----- --- - ----- --- - - - - - --- --- - --- - --- - - - ----- --- ----- - ----- - - - - - - - - - - - ----- --- - --- --- - --- - !!! e ovos mexidos !!! I-WORM.TSSE Codificado por [Offset] O worm também contém as strings de texto: A salada lançada e ovos mexidos Worm = I-Worm.TSSE. Codificado por [Offset]
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Email-Worm.VBS.Tossed

Detalhes técnicos