Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é o vírus worm se espalhando pela Internet, sendo anexado a e-mails infectados. O worm em si é um arquivo EXE do Windows PE com aproximadamente 107Kb de comprimento, escrito em Visual Basic (VB5).

O worm é ativado a partir do e-mail infectado apenas no caso de um usuário clicar no arquivo anexado. O worm então se instala no sistema, executa a rotina de distribuição e a carga útil.

As mensagens infectadas têm textos diferentes e nomes de arquivos anexados, eles são selecionados aleatoriamente pelo worm enquanto se espalham das seguintes variantes:

Os assuntos são:
Cuidado com o vírus !!! Tienes un virus !!! Eu gosto de Internet Una co�a de la red

Corpos são:
% virusname% é "Nimda", "Magistr" ou "Sircam".

Saludos
Eu tenho o virus% virusname%, de tu ordenador, e a segunda vez
Pasa a vacância que o envio, de Norton Antivirus
TenY dez mas cuidado a vez da vez!

Un Saludo
Por favor, revise o seu sufixo, eu enviei o vírus% virusname%
O envio de vagas facilitada por Norton Antivirus

Un Saludo
Hola, perdona, que te moleste, pero me enviou un virus, el% virusname%
Te env�o la vacuna de panda, �Ten mas cuidado a vez da vez!

Hola
O envio de uma ficção que me ajudou de Internet, é uma vez. mueve �l
Rato por toda a pantalla. No se qui ni pulsando control + alt + supr,
Jeje, al final hay que reiniciar. <

Anexar nomes de arquivos são:

MueveRaton.exe
AntiMagistr.exe
AntiNimda.exe
AntiSircam.exe

Para enviar mensagens infectadas, o worm verifica arquivos * .EML, * .NWS e * .DBX, obtém endereços de e-mail de vítimas e, em seguida, conecta-se ao servidor SMTP smtp.terra.es e envia mensagens infectadas.

Instalando

Durante a instalação, o worm copia a si mesmo para o diretório de sistema do Windows com o nome REGWIZ.EXE (e sobrescreve o arquivo original do Windows REGWIZ.EXE) e registra esse arquivo na chave de execução automática do registro do sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun regwiz =% systemdir% regwiz.EXE

O worm também define os atributos ReadOnly, Hidden e System para este arquivo.

O worm exibe a mensagem de erro falsa:

não há uma aplicação Win32 v�lida
[ ESTÁ BEM ]

Carga útil

O worm adiciona ao arquivo C: MSDOS.SYS o comando:

BootKeys = 0

O efeito disso é a incapacidade de interromper ou rastrear o processo de inicialização em sistemas Win9x.

O worm então permanece na memória do Windows como aplicativo oculto (serviço do sistema) e roda a rotina de carga útil – o cursor do mouse é movido aleatoriamente na tela e o mouse fica inutilizável.

O worm também executa seu contador interno na chave de registro:

Configurações do programa HKCUSoftwareVB e VBAregwizconfig
ejec =% number%

e aumenta este valie em cada corrida. Quando este contador atinge 75, o worm altera a chave do registro:

Painel de Controle HKCUC
ScreenSaveActive = 0

em seguida, sai do Windows e reinicia a máquina.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é o vírus worm se espalhando pela Internet, sendo anexado a e-mails infectados. O worm em si é um arquivo EXE do Windows PE com aproximadamente 107Kb de comprimento, escrito em Visual Basic (VB5). O worm é ativado a partir do e-mail infectado apenas no caso de um usuário clicar no arquivo anexado. O worm então se instala no sistema, executa a rotina de distribuição e a carga útil. As mensagens infectadas têm textos diferentes e nomes de arquivos anexados, eles são selecionados aleatoriamente pelo worm enquanto se espalham das seguintes variantes: Os assuntos são: Cuidado com o vírus !!! Tienes un virus !!! Eu gosto de Internet Una co�a de la red Corpos são: % virusname% é "Nimda", "Magistr" ou "Sircam". Saludos Eu tenho o virus% virusname%, de tu ordenador, e a segunda vez Pasa a vacância que o envio, de Norton Antivirus TenY dez mas cuidado a vez da vez! Un Saludo Por favor, revise o seu sufixo, eu enviei o vírus% virusname% O envio de vagas facilitada por Norton Antivirus Un Saludo Hola, perdona, que te moleste, pero me enviou un virus, el% virusname% Te env�o la vacuna de panda, �Ten mas cuidado a vez da vez! Hola O envio de uma ficção que me ajudou de Internet, é uma vez. mueve �l Rato por toda a pantalla. No se qui ni pulsando control + alt + supr, Jeje, al final hay que reiniciar. < Anexar nomes de arquivos são: MueveRaton.exe AntiMagistr.exe AntiNimda.exe AntiSircam.exe Para enviar mensagens infectadas, o worm verifica arquivos * .EML, * .NWS e * .DBX, obtém endereços de e-mail de vítimas e, em seguida, conecta-se ao servidor SMTP smtp.terra.es e envia mensagens infectadas. Instalando Durante a instalação, o worm copia a si mesmo para o diretório de sistema do Windows com o nome REGWIZ.EXE (e sobrescreve o arquivo original do Windows REGWIZ.EXE) e registra esse arquivo na chave de execução automática do registro do sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRun regwiz =% systemdir% regwiz.EXE O worm também define os atributos ReadOnly, Hidden e System para este arquivo. O worm exibe a mensagem de erro falsa: não há uma aplicação Win32 v�lida [ ESTÁ BEM ] Carga útil O worm adiciona ao arquivo C: MSDOS.SYS o comando: BootKeys = 0 O efeito disso é a incapacidade de interromper ou rastrear o processo de inicialização em sistemas Win9x. O worm então permanece na memória do Windows como aplicativo oculto (serviço do sistema) e roda a rotina de carga útil – o cursor do mouse é movido aleatoriamente na tela e o mouse fica inutilizável. O worm também executa seu contador interno na chave de registro: Configurações do programa HKCUSoftwareVB e VBAregwizconfig ejec =% number% e aumenta este valie em cada corrida. Quando este contador atinge 75, o worm altera a chave do registro: Painel de Controle HKCUC ScreenSaveActive = 0 em seguida, sai do Windows e reinicia a máquina.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Email-Worm.Win32.Ciosor

Detalhes técnicos