Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é o espalhamento do vírus worm sendo anexado a mensagens de e-mail, através de canais de IRC, infectando arquivos PE EXE (arquivos executáveis Win32), arquivos VBS e incorporando suas cópias para arquivos RAR e ARJ. O worm em si é um arquivo executável Win32 com cerca de 28Kb de comprimento e infecta apenas máquinas Win32.

O worm tem muitos bugs e, na maioria dos casos, trava o sistema ou corrompe arquivos enquanto os infecta.

Instalando

Quando o arquivo infectado é executado, o worm se copia para o diretório de sistema do Windows com um dos nomes selecionados aleatoriamente na lista a seguir, dependendo do dia atual:

napster.exe
newbillgates.exe
HonNaCigana2.exe
FreeSoftGSM.exe
game.exe
call.exe

Para acessar essa cópia mais tarde por seu nome, o worm armazena esse nome na chave do Registro:

HKLMSOFTWAREInfluenzaLab
MicrosoftOE =% wormname%

onde% wormname% é o nome do arquivo da cópia do worm (também será usado abaixo).

O worm também se copia para o diretório do Windows com o nome PornoChat.exe e registra esse arquivo na chave de execução automática do Registro:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
MicrosoftOE =% WinDir% PornoChat.exe

Atualizando

O worm é capaz de se atualizar. Para isso, define a página inicial do MS Internet Explorer como "www.volny.cz/radix16/flu/update.gif". Como resultado, em cada Internet Explorer, o arquivo GIF é baixado para a máquina afetada. O worm então copia esse arquivo com o nome C: updateFLU.gif e o processa.

Isso pode não ser usual arquivo de imagem GIF – o worm procura por dados que são anexados aos principais dados de imagem GIF. Os dados anexados possuem formato especial. Ele pode conter uma lista de endereços de e-mail (ele é armazenado no arquivo C: Heyya.txt e usado posteriormente) e / ou na imagem do arquivo EXE.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é o espalhamento do vírus worm sendo anexado a mensagens de e-mail, através de canais de IRC, infectando arquivos PE EXE (arquivos executáveis Win32), arquivos VBS e incorporando suas cópias para arquivos RAR e ARJ. O worm em si é um arquivo executável Win32 com cerca de 28Kb de comprimento e infecta apenas máquinas Win32. O worm tem muitos bugs e, na maioria dos casos, trava o sistema ou corrompe arquivos enquanto os infecta. Instalando Quando o arquivo infectado é executado, o worm se copia para o diretório de sistema do Windows com um dos nomes selecionados aleatoriamente na lista a seguir, dependendo do dia atual: napster.exe newbillgates.exe HonNaCigana2.exe FreeSoftGSM.exe game.exe call.exe Para acessar essa cópia mais tarde por seu nome, o worm armazena esse nome na chave do Registro: HKLMSOFTWAREInfluenzaLab MicrosoftOE =% wormname% onde% wormname% é o nome do arquivo da cópia do worm (também será usado abaixo). O worm também se copia para o diretório do Windows com o nome PornoChat.exe e registra esse arquivo na chave de execução automática do Registro: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun MicrosoftOE =% WinDir% PornoChat.exe Atualizando O worm é capaz de se atualizar. Para isso, define a página inicial do MS Internet Explorer como "www.volny.cz/radix16/flu/update.gif". Como resultado, em cada Internet Explorer, o arquivo GIF é baixado para a máquina afetada. O worm então copia esse arquivo com o nome C: updateFLU.gif e o processa. Isso pode não ser usual arquivo de imagem GIF – o worm procura por dados que são anexados aos principais dados de imagem GIF. Os dados anexados possuem formato especial. Ele pode conter uma lista de endereços de e-mail (ele é armazenado no arquivo C: Heyya.txt e usado posteriormente) e / ou na imagem do arquivo EXE.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Email-Worm.Win32.Heyya

Detalhes técnicos

Instalando

Atualizando