Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um vírus que se espalha pela Internet conectado a arquivos infectados. O worm em si é um arquivo EXE do Windows PE com cerca de 36Kb de comprimento e está escrito em Visual Basic Script.

O worm é ativado a partir de um e-mail infectado somente quando um usuário clica no arquivo anexado. O worm então se instala no sistema e executa uma rotina de distribuição e uma carga útil.

Instalando

Durante a instalação, o worm se copia:

para o diretório do Windows, o diretório de sistema do Windows e a raiz da unidade C: – com o nome .EXE para o diretório Windows TEMP – com um nome que depende da versão do worm:

FF8.EXE
FunnyFlash.EXE

O arquivo C: `.EXE é então registrado na chave de execução automática do registro do sistema:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 723 = c: `.exe

e no arquivo SYSTEM.INI do Windows, seção [boot], no comando de execução automática "shell".

Espalhando

Para enviar mensagens infectadas, o worm usa o MS Outlook e envia mensagens para todos os endereços encontrados no catálogo de endereços do Outlook.

Assunto, corpo e nome do anexo são diferentes nas versões conhecidas do worm:

Assunto / Corpo / Anexar:

Microsoft Shockwave Flash Movie
Marque "Family.exe" e você poderá ver o filme Shockwave Flash da família Microsoft
FamilyMovie.exe

CoolGame De% UserName%
o jogo legal sobre Final Fantasy VIII 🙂
FF8.EXE

FunnyFlashMovie De% UserName%
o filme em flash, confira! 🙂
FunnyFlash.EXE

onde% UserName% é o nome da máquina afetada.

Fintas.a

A primeira versão do worm conhecido, depois de espalhar o e-mail, exclui os arquivos no seguinte diretório do Windows: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMANDEBDio.sys e, em seguida, os arquivos: C: IO.SYS, C: NETWORK.LOG. Em seguida, copia a cópia do worm para a unidade de rede J: (se existir).

O worm, em seguida, cria e gera dois arquivos VBS: "c: passwd.vbs" e "c: leo.vbs" e, em seguida, exibe a seguinte mensagem:

O arquivo LEO.VBS procura os seguintes arquivos: .html .htm .asp .php .dll .com .txt .doc.xls .exe e sobrescreve-os com o texto:

Oi! Eu sou LEO

O arquivo PASSWD.VBS procura arquivos .PWL (senhas) e os envia para o e-mail "leotam888@china.com" com um assunto "mypasswd".

Payload – outras versões

No dia 23 de qualquer mês, o worm executa sua rotina de payload (que entra em vigor somente nos sistemas Win9x). Ele escreve, em um arquivo C: MSDOS.SYS, uma instrução que desativa o processo de inicialização do Windows pausando e rastreando e, em seguida, substitui um arquivo C: AUTOEXEC.BAT com instruções que formatarão todas as unidades de C: para Z: próxima reinicialização da máquina.

Então o worm exibe a mensagem:

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é um vírus que se espalha pela Internet conectado a arquivos infectados. O worm em si é um arquivo EXE do Windows PE com cerca de 36Kb de comprimento e está escrito em Visual Basic Script. O worm é ativado a partir de um e-mail infectado somente quando um usuário clica no arquivo anexado. O worm então se instala no sistema e executa uma rotina de distribuição e uma carga útil. Instalando Durante a instalação, o worm se copia: para o diretório do Windows, o diretório de sistema do Windows e a raiz da unidade C: – com o nome .EXE para o diretório Windows TEMP – com um nome que depende da versão do worm: FF8.EXE FunnyFlash.EXE O arquivo C: `.EXE é então registrado na chave de execução automática do registro do sistema: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 723 = c: `.exe e no arquivo SYSTEM.INI do Windows, seção [boot], no comando de execução automática "shell". Espalhando Para enviar mensagens infectadas, o worm usa o MS Outlook e envia mensagens para todos os endereços encontrados no catálogo de endereços do Outlook. Assunto, corpo e nome do anexo são diferentes nas versões conhecidas do worm: Assunto / Corpo / Anexar: Microsoft Shockwave Flash Movie Marque "Family.exe" e você poderá ver o filme Shockwave Flash da família Microsoft FamilyMovie.exe CoolGame De% UserName% o jogo legal sobre Final Fantasy VIII 🙂 FF8.EXE FunnyFlashMovie De% UserName% o filme em flash, confira! 🙂 FunnyFlash.EXE onde% UserName% é o nome da máquina afetada. Fintas.a A primeira versão do worm conhecido, depois de espalhar o e-mail, exclui os arquivos no seguinte diretório do Windows: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMANDEBDio.sys e, em seguida, os arquivos: C: IO.SYS, C: NETWORK.LOG. Em seguida, copia a cópia do worm para a unidade de rede J: (se existir). O worm, em seguida, cria e gera dois arquivos VBS: "c: passwd.vbs" e "c: leo.vbs" e, em seguida, exibe a seguinte mensagem: O arquivo LEO.VBS procura os seguintes arquivos: .html .htm .asp .php .dll .com .txt .doc.xls .exe e sobrescreve-os com o texto: Oi! Eu sou LEO O arquivo PASSWD.VBS procura arquivos .PWL (senhas) e os envia para o e-mail "leotam888@china.com" com um assunto "mypasswd". Payload – outras versões No dia 23 de qualquer mês, o worm executa sua rotina de payload (que entra em vigor somente nos sistemas Win9x). Ele escreve, em um arquivo C: MSDOS.SYS, uma instrução que desativa o processo de inicialização do Windows pausando e rastreando e, em seguida, substitui um arquivo C: AUTOEXEC.BAT com instruções que formatarão todas as unidades de C: para Z: próxima reinicialização da máquina. Então o worm exibe a mensagem:
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Email-Worm.Win32.Fintas

Detalhes técnicos