ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.3DStars

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um worm da Internet que se espalha via e-mail como um arquivo EXE anexado. O worm em si é um arquivo executável do Win32 com cerca de 70Kb de comprimento e escrito em VisualBasic. O worm tem muitos bugs e, em muitos casos (em todos os casos, em qualquer ambiente?), Não funciona corretamente: o arquivo worm não é anexado a mensagens enviadas e o texto da mensagem parece diferente do que o worm pretende.

Para se espalhar de um computador afetado, o worm usa o MS Outlook, obtém endereços do Catálogo de Endereços do MS Outlook, bem como do Catálogo de Endereços do Windows, e envia mensagens para lá. O worm também envia uma mensagem infectada para vb.master@angelfire.com cada vez que a rotina de propagação é executada.

A mensagem Subject and Body deve aparecer da seguinte maneira (não devido a um bug no código do worm). O [% CurrentDate%] aqui é a data atual.

Sujeito:
Mensagem de texto:

Ei, agora podemos conversar com isso .. 🙂
Olá
Eu escrevi um novo mensageiro, para que possamos conversar com ele.
Instale o fecho de correr auto-extraível

Meus clipes de filme ..
Hiii
Eu tenho uma webcam e eu capturei alguns clipes de filmes meus.
Extraia o auto anexável, para vê-los.
Uma coisa safada lil ..
Ei..
Eu tenho alguns grandes clipes de filmes eróticos incluídos no auto-extraível

Eu baixei esses MP3s ontem ..
Howdy ..
Ei, eles são realmente ótimos. Extraia o zip autoextratável para vê-los.

Só umas coisinhas safadas de mim ..
Hehehe..
Veja o bolo que eu preparei para você .. tchau 4 agora amigo ..

Alerta de vírus..
Ei, cuide-se ..
Encaminhe este email para todos que você conhece. Hoje, [% CurrentDate%] FBI
anunciou que um vírus grave está se espalhando. É um arquivo com um .VBS
extensão, bem como Love Bug. Veja o zip para isso

Uma questão de negócios
Senhor,
Minha empresa está interessada nas oportunidades de criar um novo
parceria com você. A apresentação é anexada, gentilmente ver e responder em breve.

Notícia legal..
Senhor / senhora
Somos forçados pelo nosso cliente a encaminhar um aviso legal para você
[%Data atual%]. Por favor, consulte os detalhes em anexo e responda o mais rapidamente possível

Cartão 4 você ..
Greeeeetings ..
Espero que você esteja bem. Veja o ECard anexado 4 você ..

Quando o arquivo EXE do worm está sendo executado a partir do anexo, ele se copia para os diretórios do sistema Windows e Windows com SysTray.exe e SysCheck.exe como nomes e registra esses arquivos na seção de execução automática do registro do Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemTray =% WindowsDir% SysTray.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemCheck =% SystemDir% SysCheck.exe

Nota: O SYSTRAY.EXE original está localizado no diretório de sistema do Windows, não no diretório do Windows, como acontece com o worm.

Para ocultar sua atividade, o worm exibe a seguinte mensagem:

Microsoft Windows
O aplicativo% ApplicationName% causou uma falha de proteção geral em
módulo Kernel.exe, e será terminado. Pressione OK para continuar
[ ESTÁ BEM ]

onde% ApplicationName% é o nome do arquivo do worm.

No dia 4 de qualquer mês, após ser executado antes das 5 da manhã, o worm substitui o arquivo C: AUTOEXEC.BAT com um cavalo de Tróia que apaga todos os arquivos nos arquivos "C: Meus Documentos" e * .DLL nos diretórios C: Windows . O código do Trojan também exibe as seguintes mensagens:

Por favor, aguarde enquanto os arquivos de atualização de instalação. Isso pode levar alguns minutos..
Agora carregando o Windows ..

O worm também tem componentes de backdoor que "abrem" o computador afetado para um hacker remoto. A rotina de backdoor permite:

relatar drives no sistema, diretórios e arquivos nas unidades
ler, escrever, copiar, excluir um arquivo
alterar, criar, remover um diretório
leia, escreva chaves de registro
enviar email para um endereço especificado
executar um arquivo
forse Windows para sair

O código do worm contém o texto "servidor 3DStars", dando assim ao nome do worm seu nome.


Link para o original