ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Myba

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um worm da Internet espalhando-se por e-mail, enviando mensagens infectadas de computadores infectados. Ao se espalhar, o worm usa o MS Outlook e se envia para todos os endereços que estão armazenados no Catálogo de Endereços do MS Outlook.

O worm em si é um aplicativo Win32 escrito em VisualBasic. O código do worm parece ser baseado no worm VBS "I-Worm.LoveLetter" (as rotinas do worm e seus nomes são muito parecidos com os de "Loveletter"), e parece que esse worm foi criado pela adaptação da fonte "VETS Loveletter". para linguagem VisualBasic.

Quando executado (se um usuário clicar em um arquivo infectado anexado), o worm envia suas cópias por e-mail, instala-se no sistema e executa ações destrutivas.

O worm se envia como mensagens de e-mail com um arquivo EXE anexado, que é o próprio worm.

A mensagem aparece da seguinte forma:

O Assunto: My baby pic !!!
Corpo da mensagem: É a minha imagem animada de bebê !!
Nome do arquivo anexado: mybabypic.exe

Ao ser ativado por um usuário (clicando duas vezes em um arquivo anexado), o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, obtém todos os endereços de lá e envia mensagens com a cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos acima.

O worm também se instala no sistema. Ele cria suas cópias no diretório do sistema Windows com os seguintes nomes:

WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE

e registra na seção de execução automática do Windows no registro do sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunmybabypic =% WinSystem% mybabypic.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWINKernel32 =% WinSystem% WINKernel32.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices =% WinSystem% Win32DLL.exe

onde% WinSystem% é o diretório de sistema do Windows. Como resultado, o worm é reativado toda vez que o Windows é inicializado.

O worm também cria a seguinte chave de registro:

HKCUSoftwareBugger
Padrão = HACK [2K]
enviado =% number%

onde% number% é um número de 0 a 3 e depende do processo que o worm está realizando atualmente ou terminou: instalando, espalhando, ativando sua rotina de payload.

A rotina de carga útil é bastante grande. Dependendo da data e hora do sistema, o worm:

  • liga / desliga as teclas NumLock, CapLock e ScrollLock
  • envia ao buffer do teclado a seguinte mensagem:

    .IM_BESIDES_YOU_

  • conecta o site http://www.youvebeenhack.com e envia um dos textos para lá:

    DE BUGGER
    DIA DE VALENTIM FELIZ DE BUGGER
    HAPPY HALLOWEEN DE BUGGER

O worm também corrompe e / ou afeta outros arquivos. Ele verifica árvores de subdiretórios em todas as unidades disponíveis, lista todos os arquivos lá e, dependendo da extensão do nome do arquivo, executa uma das ações a seguir:

VBS, VBE: o worm destrói o conteúdo desses arquivos.

JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H: o worm cria um novo arquivo com um nome de arquivo original mais a extensão ".EXE", e copia seu corpo para lá, e então exclui o arquivo original; ou seja, o worm sobrescreve esses arquivos com seu código e os renomeia com a extensão ann EXE. Por exemplo, "TEST.CPP" se torna "TEST.EXE".

JPG, JPEG: o worm faz o mesmo que acima, mas adiciona uma extensão ".EXE" ao nome completo do arquivo (não renomeia para ".EXE"). Por exemplo, "PIC1.JPG" se torna "PIC1.JPG.EXE".

MP2, MP3, M3U: o worm cria um novo arquivo com uma extensão ".EXE" (para "SONG.MP2", o worm cria o arquivo "SONG.MP2.EXE"), grava seu código ali e configura o arquivo atributo "oculto" para o arquivo original.


Link para o original