Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um worm da Internet que se espalha via e-mail como um arquivo EXE anexado. O worm em si é um arquivo executável do Win32 com cerca de 70Kb de comprimento e escrito em VisualBasic. O worm tem muitos bugs e, em muitos casos (em todos os casos, em qualquer ambiente?), Não funciona corretamente: o arquivo worm não é anexado a mensagens enviadas e o texto da mensagem parece diferente do que o worm pretende.

Para se espalhar de um computador afetado, o worm usa o MS Outlook, obtém endereços do Catálogo de Endereços do MS Outlook, bem como do Catálogo de Endereços do Windows, e envia mensagens para lá. O worm também envia uma mensagem infectada para vb.master@angelfire.com cada vez que a rotina de propagação é executada.

A mensagem Subject and Body deve aparecer da seguinte maneira (não devido a um bug no código do worm). O [% CurrentDate%] aqui é a data atual.

Sujeito:
Mensagem de texto:

Ei, agora podemos conversar com isso .. 🙂
Olá
Eu escrevi um novo mensageiro, para que possamos conversar com ele.
Instale o fecho de correr auto-extraível

Meus clipes de filme ..
Hiii
Eu tenho uma webcam e eu capturei alguns clipes de filmes meus.
Extraia o auto anexável, para vê-los.
Uma coisa safada lil ..
Ei..
Eu tenho alguns grandes clipes de filmes eróticos incluídos no auto-extraível

Eu baixei esses MP3s ontem ..
Howdy ..
Ei, eles são realmente ótimos. Extraia o zip autoextratável para vê-los.

Só umas coisinhas safadas de mim ..
Hehehe..
Veja o bolo que eu preparei para você .. tchau 4 agora amigo ..

Alerta de vírus..
Ei, cuide-se ..
Encaminhe este email para todos que você conhece. Hoje, [% CurrentDate%] FBI
anunciou que um vírus grave está se espalhando. É um arquivo com um .VBS
extensão, bem como Love Bug. Veja o zip para isso

Uma questão de negócios
Senhor,
Minha empresa está interessada nas oportunidades de criar um novo
parceria com você. A apresentação é anexada, gentilmente ver e responder em breve.

Notícia legal..
Senhor / senhora
Somos forçados pelo nosso cliente a encaminhar um aviso legal para você
[%Data atual%]. Por favor, consulte os detalhes em anexo e responda o mais rapidamente possível

Cartão 4 você ..
Greeeeetings ..
Espero que você esteja bem. Veja o ECard anexado 4 você ..

Quando o arquivo EXE do worm está sendo executado a partir do anexo, ele se copia para os diretórios do sistema Windows e Windows com SysTray.exe e SysCheck.exe como nomes e registra esses arquivos na seção de execução automática do registro do Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemTray =% WindowsDir% SysTray.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemCheck =% SystemDir% SysCheck.exe

Nota: O SYSTRAY.EXE original está localizado no diretório de sistema do Windows, não no diretório do Windows, como acontece com o worm.

Para ocultar sua atividade, o worm exibe a seguinte mensagem:

Microsoft Windows
O aplicativo% ApplicationName% causou uma falha de proteção geral em
módulo Kernel.exe, e será terminado. Pressione OK para continuar
[ ESTÁ BEM ]

onde% ApplicationName% é o nome do arquivo do worm.

No dia 4 de qualquer mês, após ser executado antes das 5 da manhã, o worm substitui o arquivo C: AUTOEXEC.BAT com um cavalo de Tróia que apaga todos os arquivos nos arquivos "C: Meus Documentos" e * .DLL nos diretórios C: Windows . O código do Trojan também exibe as seguintes mensagens:

Por favor, aguarde enquanto os arquivos de atualização de instalação. Isso pode levar alguns minutos..
Agora carregando o Windows ..

O worm também tem componentes de backdoor que "abrem" o computador afetado para um hacker remoto. A rotina de backdoor permite:

relatar drives no sistema, diretórios e arquivos nas unidades
ler, escrever, copiar, excluir um arquivo
alterar, criar, remover um diretório
leia, escreva chaves de registro
enviar email para um endereço especificado
executar um arquivo
forse Windows para sair

O código do worm contém o texto "servidor 3DStars", dando assim ao nome do worm seu nome.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é um worm da Internet que se espalha via e-mail como um arquivo EXE anexado. O worm em si é um arquivo executável do Win32 com cerca de 70Kb de comprimento e escrito em VisualBasic. O worm tem muitos bugs e, em muitos casos (em todos os casos, em qualquer ambiente?), Não funciona corretamente: o arquivo worm não é anexado a mensagens enviadas e o texto da mensagem parece diferente do que o worm pretende. Para se espalhar de um computador afetado, o worm usa o MS Outlook, obtém endereços do Catálogo de Endereços do MS Outlook, bem como do Catálogo de Endereços do Windows, e envia mensagens para lá. O worm também envia uma mensagem infectada para vb.master@angelfire.com cada vez que a rotina de propagação é executada. A mensagem Subject and Body deve aparecer da seguinte maneira (não devido a um bug no código do worm). O [% CurrentDate%] aqui é a data atual. Sujeito: Mensagem de texto: Ei, agora podemos conversar com isso .. 🙂 Olá Eu escrevi um novo mensageiro, para que possamos conversar com ele. Instale o fecho de correr auto-extraível Meus clipes de filme .. Hiii Eu tenho uma webcam e eu capturei alguns clipes de filmes meus. Extraia o auto anexável, para vê-los. Uma coisa safada lil .. Ei.. Eu tenho alguns grandes clipes de filmes eróticos incluídos no auto-extraível Eu baixei esses MP3s ontem .. Howdy .. Ei, eles são realmente ótimos. Extraia o zip autoextratável para vê-los. Só umas coisinhas safadas de mim .. Hehehe.. Veja o bolo que eu preparei para você .. tchau 4 agora amigo .. Alerta de vírus.. Ei, cuide-se .. Encaminhe este email para todos que você conhece. Hoje, [% CurrentDate%] FBI anunciou que um vírus grave está se espalhando. É um arquivo com um .VBS extensão, bem como Love Bug. Veja o zip para isso Uma questão de negócios Senhor, Minha empresa está interessada nas oportunidades de criar um novo parceria com você. A apresentação é anexada, gentilmente ver e responder em breve. Notícia legal.. Senhor / senhora Somos forçados pelo nosso cliente a encaminhar um aviso legal para você [%Data atual%]. Por favor, consulte os detalhes em anexo e responda o mais rapidamente possível Cartão 4 você .. Greeeeetings .. Espero que você esteja bem. Veja o ECard anexado 4 você .. Quando o arquivo EXE do worm está sendo executado a partir do anexo, ele se copia para os diretórios do sistema Windows e Windows com SysTray.exe e SysCheck.exe como nomes e registra esses arquivos na seção de execução automática do registro do Windows: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemTray =% WindowsDir% SysTray.exe HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemCheck =% SystemDir% SysCheck.exe Nota: O SYSTRAY.EXE original está localizado no diretório de sistema do Windows, não no diretório do Windows, como acontece com o worm. Para ocultar sua atividade, o worm exibe a seguinte mensagem: Microsoft Windows O aplicativo% ApplicationName% causou uma falha de proteção geral em módulo Kernel.exe, e será terminado. Pressione OK para continuar [ ESTÁ BEM ] onde% ApplicationName% é o nome do arquivo do worm. No dia 4 de qualquer mês, após ser executado antes das 5 da manhã, o worm substitui o arquivo C: AUTOEXEC.BAT com um cavalo de Tróia que apaga todos os arquivos nos arquivos "C: Meus Documentos" e * .DLL nos diretórios C: Windows . O código do Trojan também exibe as seguintes mensagens: Por favor, aguarde enquanto os arquivos de atualização de instalação. Isso pode levar alguns minutos.. Agora carregando o Windows .. O worm também tem componentes de backdoor que "abrem" o computador afetado para um hacker remoto. A rotina de backdoor permite: relatar drives no sistema, diretórios e arquivos nas unidades ler, escrever, copiar, excluir um arquivo alterar, criar, remover um diretório leia, escreva chaves de registro enviar email para um endereço especificado executar um arquivo forse Windows para sair O código do worm contém o texto "servidor 3DStars", dando assim ao nome do worm seu nome.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Email-Worm.Win32.3DStars

Detalhes técnicos