ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.FunnyPics

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Esse vírus se espalha pela Internet como um anexo às mensagens infectadas. O worm em si é um arquivo EXE do Windows PE com 14136 bytes de tamanho.

Instalação

O worm se copia para o diretório raiz do Windows como brsh32.exe:

 % WinDir% brsh32.exe 

Em seguida, registra esse arquivo no registro do sistema Windows como um novo serviço. Isso garante que o worm seja iniciado sempre que o Windows for reinicializado na máquina vítima:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
 "brsh32Service" = "% WinDir% brsh32.exe -q" 

O worm irá:

  1. espalhar via e-mail
  2. tornar a administração remota da máquina vítima possível através de um backdoor

O worm se envia para endereços de e-mail coletados da máquina da vítima.

Ao enviar mensagens infectadas, o worm estabelece uma conexão direta com o servidor SMTP do destinatário.

Assunto do email

O assunto da mensagem é escolhido aleatoriamente na lista abaixo:

  • Você está pronto para aproveitar?
  • você quer rir?
  • Baixe fotos engraçadas de graça!
  • baixar screensavers de graça!
  • Fotos grátis e screensavers
  • protetor de tela grátis
  • fotos engraçadas está online novamente!
  • oferta especial de funnypics
  • huff OUT!
  • humor on-line
  • pedaço de diversão!
  • Ouça a Dr.Fun
  • fotos e protetores de tela
  • pronto? estável? rir!
  • Salve sua tela!
  • o que você quer ver?

Conteúdo do email

O corpo da mensagem não muda e é o seguinte:

Funny Pics Inc. ataca de volta com mais coisas grátis.Visite nosso novo site com muitas fotos engraçadas e novos protetores de tela como este! www.funnypics.com

Anexo

O worm envia uma cópia de si mesmo no seguinte anexo:% windir% brsh32.exe. No entanto, ele disfarça esse arquivo como uma foto de www.funnypics.com.

O nome do anexo é escolhido aleatoriamente na lista abaixo:

  • billBates.scr
  • bzzz.scr
  • funnyPic.scr
  • intelAside.scr
  • kennyIsAlive.scr
  • mac0s.scr
  • matrix-SP.scr
  • mrBrown.scr
  • nastyPokemon.scr
  • paradise.scr
  • phantomMenaze.scr
  • southPark.scr
  • SouthParkOuttaSpace.scr
  • starWarz.scr
  • waaazUp.scr
  • x-filez.scr

Carga útil

O worm abrirá uma porta TCP entre 8000 e 8255 (escolhida aleatoriamente) e escutará os comandos.

Isso fornece um usuário mal-intencionado remoto com acesso total à máquina vítima, possibilitando obter informações da máquina vítima, baixar, ativar e excluir arquivos.

Instruções de remoção

  1. Exclua a seguinte chave do Registro:
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
    "brsh32Service" = "% WinDir% brsh32.exe -q"
  2. Usando o Gerenciador de Tarefas, pare o processo chamado brsh32.exe.
  3. Exclua o seguinte arquivo:% WinDir% brsh32.exe.
  4. Faça uma verificação completa do seu computador ( baixe a versão de avaliação do Kaspersky Anti-Virus ).

Link para o original