Email-Worm.Win32.MsWorld

Detalhes técnicos

Este é o espalhamento de worms de e-mail afetando o MS Outlook. O worm em si é um arquivo executável Win32 com cerca de 130K de comprimento. O worm é escrito em linguagem Visual Basic.

Quando o arquivo worm é executado (clique duas vezes no arquivo EXE anexado), ele exibe as imagens "miss World", por exemplo:

e depois corre espalhando e duas rotinas de trojan.

Para espalhar o worm usa um caminho padrão. Ele se conecta ao MS Outlook, obtém até 50 endereços do catálogo de endereços e envia mensagens para lá. As mensagens têm:

Assunto: Miss Mundo
Corpo: Olá,% ��� ����������%
Aproveite as últimas fotos de Miss Mundo de vários países

O arquivo anexado tem o nome do arquivo EXE original que foi ativado. O nome do arquivo EXE "original" em que o worm foi recebido é MSWORLD.EXE.

Em seguida, o worm é anexado ao final do comando C: AUTOEXEC.BAT do DOS que exibe a mensagem:

Este tudo para minha namorada ………, (CatEyes, KRSSL, SS Hostel)

e, em seguida, formate todas as unidades fixas locais.

O worm então tenta excluir os arquivos de registro do sistema e seus backups:

SYSTEM.DAT, SYSTEM.DA0, USER.DAT, USER.DA0

Porque .DAT esses arquivos são geralmente bloqueados pelo sistema, o worm não consegue excluí-los.

O verme então sai.