ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.
Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe | Email-Worm |
Plataforma | Win32 |
Descrição |
Detalhes técnicosEste é um worm da Internet que se espalha via e-mail como um arquivo EXE anexado. O worm em si é um arquivo executável do Win32 com cerca de 70Kb de comprimento e escrito em VisualBasic. O worm tem muitos bugs e, em muitos casos (em todos os casos, em qualquer ambiente?), Não funciona corretamente: o arquivo worm não é anexado a mensagens enviadas e o texto da mensagem parece diferente do que o worm pretende. Para se espalhar de um computador afetado, o worm usa o MS Outlook, obtém endereços do Catálogo de Endereços do MS Outlook, bem como do Catálogo de Endereços do Windows, e envia mensagens para lá. O worm também envia uma mensagem infectada para vb.master@angelfire.com cada vez que a rotina de propagação é executada. A mensagem Subject and Body deve aparecer da seguinte maneira (não devido a um bug no código do worm). O [% CurrentDate%] aqui é a data atual.
Quando o arquivo EXE do worm está sendo executado a partir do anexo, ele se copia para os diretórios do sistema Windows e Windows com SysTray.exe e SysCheck.exe como nomes e registra esses arquivos na seção de execução automática do registro do Windows:
Nota: O SYSTRAY.EXE original está localizado no diretório de sistema do Windows, não no diretório do Windows, como acontece com o worm. Para ocultar sua atividade, o worm exibe a seguinte mensagem:
onde% ApplicationName% é o nome do arquivo do worm. No dia 4 de qualquer mês, após ser executado antes das 5 da manhã, o worm substitui o arquivo C: AUTOEXEC.BAT com um cavalo de Tróia que apaga todos os arquivos nos arquivos "C: Meus Documentos" e * .DLL nos diretórios C: Windows . O código do Trojan também exibe as seguintes mensagens:
O worm também tem componentes de backdoor que "abrem" o computador afetado para um hacker remoto. A rotina de backdoor permite:
O código do worm contém o texto "servidor 3DStars", dando assim ao nome do worm seu nome. |
Link para o original |
|
Descubra as estatísticas das ameaças que se espalham em sua região |