ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Puron

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um vírus que se espalha através de e-mails infectados e infecta arquivos EXE do Windows em computadores. As rotinas do worm têm bugs e, em alguns casos, interrompem o computador e / ou corrompem os arquivos enquanto os infectam.

O código do worm tem as strings de texto "copyright":

(c) Vecna
Vecna ​​é um roqueiro punk agora …

Execução de Arquivos Infectados

O worm pode entrar em um computador através de e-mails infectados da rede local ou de qualquer outro arquivo infectado que seja executado.

Quando o worm é iniciado, ele extrai de um arquivo infectado seu código "principal" (que é código de vírus "puro" – arquivo Win32 PE EXE 9,5 Kb de tamanho), salva no diretório Windows TEMP com um nome selecionado aleatoriamente (por exemplo , LNBAMKON.EXE, MMCAAHAN.EXE) e executa esse arquivo.

Quando o código "principal" do vírus ganha controle, ele move seu arquivo para o diretório do Windows que é referenciado na chave do Registro:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Folders
Partida Comum =% startup%

O nome do diretório% startup% depende da versão do Windows, por exemplo:

Documents and SettingsTodos os usuáriosStart MenuProgramsStartup
% WindowsDir% Todos os UsuáriosIniciar MenuProgramasIniciar

O worm se move para o diretório% startup% com um nome aleatório que tem oito dígitos selecionados aleatoriamente e uma extensão .EXE, por exemplo:

00544102.EXE
17060133.EXE
37154273.EXE

O worm então executa essa cópia no diretório "Inicialização" e exclui a primeira cópia no diretório Windows TEMP, por exemplo:

C: VIRUS.EXE – o arquivo infectado é executado
C: WINDOWSTEMPMMCAAHAN.EXE – primeira cópia é criada e executada
C: WINDOWSAll UsersStart MenuProgramsStartup 0544102.EXE – esta é a segunda cópia, é criada aqui e executada. A primeira cópia é excluída depois.

Por causa de um bug, em alguns casos, o worm falha no meio desse processo, e a primeira cópia é deixada no diretório TEMP.

Quando esse processo de "transferência de arquivos" é concluído, o worm instala um gancho "invisível" e executa as rotinas de disseminação de infecção e e-mail.

Infecção

A rotina de infecção, quando ganha controle, procura um arquivo executável do Windows .EXE e .SCR em todas as unidades locais e de rede e as infecta. Durante a infecção, ele obtém um bloco do meio do arquivo, compacta-o e armazena os dados compactados e o código do worm no arquivo para que o tamanho do arquivo não aumente.

O worm também usa um mecanismo de mutação polimórfica para tornar o processo de detecção e desinfecção mais complexo.

Propagação de e-mail

Para se espalhar, o worm se conecta a um servidor de e-mail SMTP e envia mensagens infectadas para endereços de e-mail. Tanto o nome do servidor SMTP quanto os endereços de e-mail, o worm obtém os arquivos de dados do WAB (Windows Address Book).

As mensagens infectadas são de formato HTML e possuem campos:

De: "Mondo bizarro" [mourning@obituary.org]
Assunto: Joey está morto, cara … 🙁
Texto: Uma homenagem a Joey Ramone (1951-2001)
Anexar: ramones.mp3.exe

O worm usa uma das vulnerabilidades de segurança (identificador de vulnerabilidade: CAN-2001-0154) que foram encontradas no MS Windows em 2001. O resultado dessa violação é a possibilidade de gerar um arquivo EXE anexado sem ação do usuário. Quando um e-mail infectado é aberto para leitura ou visualização, o arquivo EXE do worm é executado automaticamente.

A Microsoft já lançou um patch que elimina essa vulnerabilidade. Informações adicionais podem ser encontradas aqui: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Furtividade

O worm intercepta as chamadas do sistema FindFile e FindProcess do Windows (FindFirstFileA, FindNextFileA, Process32First, Process32Next). O worm processa essas chamadas para que sua cópia no diretório "startup" (veja acima) não seja reportada. Como resultado, o arquivo worm não é visível em listas de arquivos e processos.


Link para o original