ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Burnox

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

O Burnox é um vírus worm que se espalha pela Internet como um anexo em e-mails infectados, além de se espalhar pela rede de compartilhamento de arquivos Kazaa. O worm também faz o download de um site e instala um trojan backdoor no sistema.

O próprio worm é um arquivo EXE do Windows PE com tamanho de 4KB (quando compactado pelo FSG, o tamanho descompactado é de cerca de 20 KB) e escrito em VisualBasic.

Instalando

Ao instalar o worm, copia-se no diretório do sistema Windows com o nome "MicrosoftUpdate.com" e registra esse arquivo na chave de execução automática do registro do sistema:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update =% SystemDir% MicrosoftUpdate.com

onde% SystemDir% é o caminho de diretório do sistema do Windows.

O worm também cria uma chave de registro do sistema onde mantém seu contador:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersion Startup =% counter%

o% counter% está definido como '1' e é aumentado a cada início de cada worm. Dependendo deste contador, o worm ativa suas rotinas de propagação.

Espalhando: E-mail

Para enviar mensagens infectadas, o worm usa o MS Outlook e envia mensagens para todos os endereços encontrados no catálogo de endereços do Outlook. As mensagens Ifected têm o seguinte texto de campo:

 Assunto: Importante: Microsoft Windows Patch para Xp, 2k, ME, 98,95.

 Corpo:      

   A Microsoft acaba de lançar este patch para todas as versões do Microsoft Windows.
   Esta atualização corrige muitas das vulnerabilidades recentes!
   É recomendado que você corrija seu sistema operacional agora. Embora não seja obrigatório.

   * Por favor, note * Este não é o patch real da Microsoft. O programa em anexo é o Microsoft Update

 Anexar: MicrosoftUpdate.com

O worm é ativado a partir de e-mails infectados apenas no caso de um usuário clicar no arquivo anexado. O worm então se instala no sistema e executa rotinas de propagação.

Espalhando: KaZaa

O worm cria um subdiretório com o nome "system16" no diretório do sistema Windows e copia a si mesmo para lá com os nomes:

   kmd.exe Game Trainer.exe Hacker.exe                         
   icq2003a.exe Game.exe Hacks.exe                          
   icq2003b.exe App.exe xbox Hacker.exe                    
   icq2003Final.exe Aplicação Crack.exe Ps2 Bios Emulation.exe             
   icq2002a.exe Cracker.exe xbox Bios Hack.exe                 
   icq2003a.exe Games.exe Gravar jogos ps2 para um único CD-R.exe
   icq crack.exe Jogos trainer.exe Burn ps2.exe                       
   aim crack.exe Trainer.exe queimar xbox.exe                      
   icq lite.exe Cheat.exe queimar dreamcast.exe                 
   imeshv2.exe Jogo Hack.exe   

O diretório "system16" é então registrado como recurso de compartilhamento de arquivos do Kazaa.

Instalando o Trojan Backdoor

O worm faz o download do "Backdoor.Slackbot" do site http://www.wawater.com, armazena-o no arquivo "c: unxrt.exe" e o executa.


Link para o original