ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Atirus

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um worm Win32 que se espalha enviando a si mesmo por e-mail para os destinatários do livro de endereços do Outlook da vítima.

Quando lançado em um PC 'limpo', o worm se copia para o% SYSTEM% Setup30.exe. O worm também grava uma chave de início automático, portanto, ele será iniciado sempre que o Windows for iniciado:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Instalação do Kernel =% SYSTEM% Setup30.exe

Em seguida, o worm é suspenso por 5 minutos e, em seguida, lança uma de suas cargas dependendo da hora do sistema:

Segunda-feira: localiza e remove o I-Worm.Badtrans

Terça-feira: restaura os valores padrão no Win.ini:
[janelas]
Run =
Carga =

e define o seguinte valor da chave do Registro:

HKCRexefileshellopencommand
Valor padrão = "% 1"% *

Quarta-feira: localiza e remove o I-Worm.PrettyPark

Quinta-feira: exclui os seguintes arquivos, se existirem:

c: mircmirc.ini
c: mircscript.ini
c: mirc32mirc.ini
c: mirc32script.ini
c: ircmirc.ini
c: ircscript.ini
c: chatmirc.ini
c: chatscript.ini
c: progra ~ 1mircmirc.ini
c: progra ~ 1mircscript.ini
c: programar ~ 1mirc32mirc.ini
c: progra ~ 1mirc32script.ini
c: progra ~ 1ircmirc.ini
c: progra ~ 1ircscript.ini

Sexta-feira: localiza e remove o I-Worm.Sircam.c

Sábado: restaura os valores padrão no System.ini:
[boot]
Shell = explorer.exe

Domingo: localiza e exclui todos os arquivos com uma extensão ".vbs" nas pastas% WINDOWS% e% SYSTEM%.

Em 16 de setembro, exibe a seguinte mensagem:

Antivírus 
Sistema protegido por I-Worm.Antivirus
Copyright (c) 2001 por aLL3gRo

Depois de executar a carga, o worm verifica se o seguinte valor do registro está presente:

HKLMSoftwareMicrosoftWindowsCurrentVersion Install = 1

Se o valor não existir, o worm tentará se enviar para os remetentes de mensagens que existem nas pastas do cliente padrão MAPI.

O assunto da mensagem enviada é "Nova ferramenta antivírus", e a mensagem também contém o anexo "Antivirus.exe", que é o próprio vírus, e também contém no corpo:

Ei, confira essa nova ferramenta antivírus que verifica se há vírus no seu sistema


Link para o original