ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Android

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um worm de vírus que se espalha através de canais da Internet, sendo anexado a mensagens de e-mail como o arquivo executável do Windows ULTRA.EXE. Este worm está relacionado ao I-Worm_Suppl .

O worm tem uma carga muito perigosa: dentro de uma semana após a infecção do computador, o worm apaga os arquivos com as seguintes extensões nas unidades locais e remotas: ICO, DOC, TXT, HTM, JPG, GIF, ZIP, RAR. O método de apagar é o mesmo usado pelo worm I-Worm_ZippedFiles , e os arquivos danificados não são recuperáveis.

No dia 5 de qualquer mês, o worm descarta um arquivo ANDROID.BMP com o texto "ANDROID" e o registra no sistema como papel de parede.

Instalando

Quando um arquivo ULTRA.EXE é ativado por um usuário, o vírus ganha contol e se instala no sistema; copia a si mesmo para o diretório de sistema do Windows com o nome ANDROID.DLL; Em seguida, descarta seu componente DLL (que é armazenado no arquivo EXE) para o mesmo diretório com o nome ULTRA.DLL.

O worm então adiciona instruções de renomeação ao arquivo WININIT.INI. Essas instruções renomeiam WSOCK32.DLL com o nome WSOCK33.DLL e substituem o WSOCK32.DLL pela biblioteca ULTRA.DLL do worm. Esse truque faz com que o Windows substitua seu WSOCK32.DLL por uma cópia do worm na próxima reinicialização do Windows.

Ao inicializar suas DLLs, o Windows carrega uma DLL infectada (worm) em vez das originais e, como resultado, o worm obtém acesso às funções da rede.

Espalhando

Na próxima reinicialização do Windows, o WSOCK32.DLL infectado é carregado na memória do sistema e ganha controle. O worm neste momento ganha acesso e intercepta todas as funções de biblioteca necessárias que a biblioteca WSOCK32 original faz. Para todos, exceto dois, o worm apenas encaminha solicitações para as funções originais e, para isso, o worm também carrega o WSOCK33.DLL (biblioteca original) na memória do Windows.

As duas funções são processadas pelo vírus: seus nomes são "enviar" e "conectar". Ao usar essas funções, o worm intercepta os e-mails enviados e anexa sua cópia a esses e-mails como o arquivo ULTRA.EXE.


Link para o original