Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um worm da Internet espalhando-se por e-mail, enviando mensagens infectadas de computadores infectados. Ao se espalhar, o worm usa o MS Outlook e se envia para todos os endereços que estão armazenados no Catálogo de Endereços do MS Outlook.

O worm em si é um aplicativo Win32 escrito em VisualBasic. O código do worm parece ser baseado no worm VBS "I-Worm.LoveLetter" (as rotinas do worm e seus nomes são muito parecidos com os de "Loveletter"), e parece que esse worm foi criado pela adaptação da fonte "VETS Loveletter". para linguagem VisualBasic.

Quando executado (se um usuário clicar em um arquivo infectado anexado), o worm envia suas cópias por e-mail, instala-se no sistema e executa ações destrutivas.

O worm se envia como mensagens de e-mail com um arquivo EXE anexado, que é o próprio worm.

A mensagem aparece da seguinte forma:

O Assunto: My baby pic !!!
Corpo da mensagem: É a minha imagem animada de bebê !!
Nome do arquivo anexado: mybabypic.exe

Ao ser ativado por um usuário (clicando duas vezes em um arquivo anexado), o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, obtém todos os endereços de lá e envia mensagens com a cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos acima.

O worm também se instala no sistema. Ele cria suas cópias no diretório do sistema Windows com os seguintes nomes:

WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE

e registra na seção de execução automática do Windows no registro do sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunmybabypic =% WinSystem% mybabypic.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWINKernel32 =% WinSystem% WINKernel32.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices =% WinSystem% Win32DLL.exe

onde% WinSystem% é o diretório de sistema do Windows. Como resultado, o worm é reativado toda vez que o Windows é inicializado.

O worm também cria a seguinte chave de registro:

HKCUSoftwareBugger
Padrão = HACK [2K]
enviado =% number%

onde% number% é um número de 0 a 3 e depende do processo que o worm está realizando atualmente ou terminou: instalando, espalhando, ativando sua rotina de payload.

A rotina de carga útil é bastante grande. Dependendo da data e hora do sistema, o worm:

liga / desliga as teclas NumLock, CapLock e ScrollLock
envia ao buffer do teclado a seguinte mensagem:

.IM_BESIDES_YOU_
conecta o site http://www.youvebeenhack.com e envia um dos textos para lá:

DE BUGGER
DIA DE VALENTIM FELIZ DE BUGGER
HAPPY HALLOWEEN DE BUGGER

O worm também corrompe e / ou afeta outros arquivos. Ele verifica árvores de subdiretórios em todas as unidades disponíveis, lista todos os arquivos lá e, dependendo da extensão do nome do arquivo, executa uma das ações a seguir:

VBS, VBE: o worm destrói o conteúdo desses arquivos.

JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H: o worm cria um novo arquivo com um nome de arquivo original mais a extensão ".EXE", e copia seu corpo para lá, e então exclui o arquivo original; ou seja, o worm sobrescreve esses arquivos com seu código e os renomeia com a extensão ann EXE. Por exemplo, "TEST.CPP" se torna "TEST.EXE".

JPG, JPEG: o worm faz o mesmo que acima, mas adiciona uma extensão ".EXE" ao nome completo do arquivo (não renomeia para ".EXE"). Por exemplo, "PIC1.JPG" se torna "PIC1.JPG.EXE".

MP2, MP3, M3U: o worm cria um novo arquivo com uma extensão ".EXE" (para "SONG.MP2", o worm cria o arquivo "SONG.MP2.EXE"), grava seu código ali e configura o arquivo atributo "oculto" para o arquivo original.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é um worm da Internet espalhando-se por e-mail, enviando mensagens infectadas de computadores infectados. Ao se espalhar, o worm usa o MS Outlook e se envia para todos os endereços que estão armazenados no Catálogo de Endereços do MS Outlook. O worm em si é um aplicativo Win32 escrito em VisualBasic. O código do worm parece ser baseado no worm VBS "I-Worm.LoveLetter" (as rotinas do worm e seus nomes são muito parecidos com os de "Loveletter"), e parece que esse worm foi criado pela adaptação da fonte "VETS Loveletter". para linguagem VisualBasic. Quando executado (se um usuário clicar em um arquivo infectado anexado), o worm envia suas cópias por e-mail, instala-se no sistema e executa ações destrutivas. O worm se envia como mensagens de e-mail com um arquivo EXE anexado, que é o próprio worm. A mensagem aparece da seguinte forma: O Assunto: My baby pic !!! Corpo da mensagem: É a minha imagem animada de bebê !! Nome do arquivo anexado: mybabypic.exe Ao ser ativado por um usuário (clicando duas vezes em um arquivo anexado), o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, obtém todos os endereços de lá e envia mensagens com a cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos acima. O worm também se instala no sistema. Ele cria suas cópias no diretório do sistema Windows com os seguintes nomes: WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE e registra na seção de execução automática do Windows no registro do sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRunmybabypic =% WinSystem% mybabypic.exe HKLMSoftwareMicrosoftWindowsCurrentVersionRunWINKernel32 =% WinSystem% WINKernel32.exe HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices =% WinSystem% Win32DLL.exe onde% WinSystem% é o diretório de sistema do Windows. Como resultado, o worm é reativado toda vez que o Windows é inicializado. O worm também cria a seguinte chave de registro: HKCUSoftwareBugger Padrão = HACK [2K] enviado =% number% onde% number% é um número de 0 a 3 e depende do processo que o worm está realizando atualmente ou terminou: instalando, espalhando, ativando sua rotina de payload. A rotina de carga útil é bastante grande. Dependendo da data e hora do sistema, o worm: liga / desliga as teclas NumLock, CapLock e ScrollLock envia ao buffer do teclado a seguinte mensagem: .IM_BESIDES_YOU_ conecta o site http://www.youvebeenhack.com e envia um dos textos para lá: DE BUGGER DIA DE VALENTIM FELIZ DE BUGGER HAPPY HALLOWEEN DE BUGGER O worm também corrompe e / ou afeta outros arquivos. Ele verifica árvores de subdiretórios em todas as unidades disponíveis, lista todos os arquivos lá e, dependendo da extensão do nome do arquivo, executa uma das ações a seguir: VBS, VBE: o worm destrói o conteúdo desses arquivos. JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H: o worm cria um novo arquivo com um nome de arquivo original mais a extensão ".EXE", e copia seu corpo para lá, e então exclui o arquivo original; ou seja, o worm sobrescreve esses arquivos com seu código e os renomeia com a extensão ann EXE. Por exemplo, "TEST.CPP" se torna "TEST.EXE". JPG, JPEG: o worm faz o mesmo que acima, mas adiciona uma extensão ".EXE" ao nome completo do arquivo (não renomeia para ".EXE"). Por exemplo, "PIC1.JPG" se torna "PIC1.JPG.EXE". MP2, MP3, M3U: o worm cria um novo arquivo com uma extensão ".EXE" (para "SONG.MP2", o worm cria o arquivo "SONG.MP2.EXE"), grava seu código ali e configura o arquivo atributo "oculto" para o arquivo original.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Email-Worm.Win32.Myba

Detalhes técnicos