ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Heyya

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é o espalhamento do vírus worm sendo anexado a mensagens de e-mail, através de canais de IRC, infectando arquivos PE EXE (arquivos executáveis ​​Win32), arquivos VBS e incorporando suas cópias para arquivos RAR e ARJ. O worm em si é um arquivo executável Win32 com cerca de 28Kb de comprimento e infecta apenas máquinas Win32.

O worm tem muitos bugs e, na maioria dos casos, trava o sistema ou corrompe arquivos enquanto os infecta.

Instalando

Quando o arquivo infectado é executado, o worm se copia para o diretório de sistema do Windows com um dos nomes selecionados aleatoriamente na lista a seguir, dependendo do dia atual:

napster.exe
newbillgates.exe
HonNaCigana2.exe
FreeSoftGSM.exe
game.exe
call.exe

Para acessar essa cópia mais tarde por seu nome, o worm armazena esse nome na chave do Registro:

HKLMSOFTWAREInfluenzaLab
MicrosoftOE =% wormname%

onde% wormname% é o nome do arquivo da cópia do worm (também será usado abaixo).

O worm também se copia para o diretório do Windows com o nome PornoChat.exe e registra esse arquivo na chave de execução automática do Registro:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
MicrosoftOE =% WinDir% PornoChat.exe

Atualizando

O worm é capaz de se atualizar. Para isso, define a página inicial do MS Internet Explorer como "www.volny.cz/radix16/flu/update.gif". Como resultado, em cada Internet Explorer, o arquivo GIF é baixado para a máquina afetada. O worm então copia esse arquivo com o nome C: updateFLU.gif e o processa.

Isso pode não ser usual arquivo de imagem GIF – o worm procura por dados que são anexados aos principais dados de imagem GIF. Os dados anexados possuem formato especial. Ele pode conter uma lista de endereços de e-mail (ele é armazenado no arquivo C: Heyya.txt e usado posteriormente) e / ou na imagem do arquivo EXE.


Link para o original