ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Magistr

Data de detecção 01/11/2002
Classe Email-Worm
Plataforma Win32
Descrição

Esta é uma versão melhorada do worm de email "Magistr" original e do infectador de arquivos Win32 PE EXE.

As diferenças são:

A rotina de carga útil é imorada por outra ramificação que sobrescreve um arquivo WIN.COM no diretório do Windows e um arquivo NTLDR no diretório raiz C: com um programa que apaga dados do disco rígido durante a inicialização. Isso é feito para unidades compartilhadas locais e de rede também.

Ao infectar um arquivo local, esse vírus criptografa uma rotina de entrada com uma chave que depende do nome do computador. Isso faz com que a desinfecção da máquina infectada seja muito mais difícil.

Para se espalhar por e-mail, o worm também procura os dados de e-mail do Eudora.

Ao infectar unidades de rede, o worm procura por mais nomes de diretórios do Windows:

WINNT
JANELAS
WIN95
WIN98
ME GANHE
WIN2000
WIN2K
WINXP

A cópia do worm é registrada nos arquivos WIN.INI e SYSTEM.INI nas seções a seguir:

WIN.INI: Windows Run
System.ini: shell de inicialização

O worm procura por arquivos GIF e pode enviar imagens GIF para fora do computador, assim como limpar arquivos DOC (como a versão original faz).

O worm destrói os arquivos .NTZ toda vez que esses arquivos estão localizados. Ele também tenta finalizar o firewall do ZoneAlarm se estiver instalado, mas falha e o ZoneAlarm continua a proteger a máquina.


Link para o original