Email-Worm.Win32.Puron

Detalhes técnicos

Este é um vírus que se espalha através de e-mails infectados e infecta arquivos EXE do Windows em computadores. As rotinas do worm têm bugs e, em alguns casos, interrompem o computador e / ou corrompem os arquivos enquanto os infectam.

O código do worm tem as strings de texto "copyright":

(c) Vecna
Vecna ​​é um roqueiro punk agora …

Execução de Arquivos Infectados

O worm pode entrar em um computador através de e-mails infectados da rede local ou de qualquer outro arquivo infectado que seja executado.

Quando o worm é iniciado, ele extrai de um arquivo infectado seu código "principal" (que é código de vírus "puro" – arquivo Win32 PE EXE 9,5 Kb de tamanho), salva no diretório Windows TEMP com um nome selecionado aleatoriamente (por exemplo , LNBAMKON.EXE, MMCAAHAN.EXE) e executa esse arquivo.

Quando o código "principal" do vírus ganha controle, ele move seu arquivo para o diretório do Windows que é referenciado na chave do Registro:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Folders
Partida Comum =% startup%

O nome do diretório% startup% depende da versão do Windows, por exemplo:

Documents and SettingsTodos os usuáriosStart MenuProgramsStartup
% WindowsDir% Todos os UsuáriosIniciar MenuProgramasIniciar

O worm se move para o diretório% startup% com um nome aleatório que tem oito dígitos selecionados aleatoriamente e uma extensão .EXE, por exemplo:

00544102.EXE
17060133.EXE
37154273.EXE

O worm então executa essa cópia no diretório "Inicialização" e exclui a primeira cópia no diretório Windows TEMP, por exemplo:

C: VIRUS.EXE – o arquivo infectado é executado
C: WINDOWSTEMPMMCAAHAN.EXE – primeira cópia é criada e executada
C: WINDOWSAll UsersStart MenuProgramsStartup 0544102.EXE – esta é a segunda cópia, é criada aqui e executada. A primeira cópia é excluída depois.

Por causa de um bug, em alguns casos, o worm falha no meio desse processo, e a primeira cópia é deixada no diretório TEMP.

Quando esse processo de "transferência de arquivos" é concluído, o worm instala um gancho "invisível" e executa as rotinas de disseminação de infecção e e-mail.

Infecção

A rotina de infecção, quando ganha controle, procura um arquivo executável do Windows .EXE e .SCR em todas as unidades locais e de rede e as infecta. Durante a infecção, ele obtém um bloco do meio do arquivo, compacta-o e armazena os dados compactados e o código do worm no arquivo para que o tamanho do arquivo não aumente.

O worm também usa um mecanismo de mutação polimórfica para tornar o processo de detecção e desinfecção mais complexo.

Propagação de e-mail

Para se espalhar, o worm se conecta a um servidor de e-mail SMTP e envia mensagens infectadas para endereços de e-mail. Tanto o nome do servidor SMTP quanto os endereços de e-mail, o worm obtém os arquivos de dados do WAB (Windows Address Book).

As mensagens infectadas são de formato HTML e possuem campos:

De: "Mondo bizarro" [mourning@obituary.org]
Assunto: Joey está morto, cara … 🙁
Texto: Uma homenagem a Joey Ramone (1951-2001)
Anexar: ramones.mp3.exe

O worm usa uma das vulnerabilidades de segurança (identificador de vulnerabilidade: CAN-2001-0154) que foram encontradas no MS Windows em 2001. O resultado dessa violação é a possibilidade de gerar um arquivo EXE anexado sem ação do usuário. Quando um e-mail infectado é aberto para leitura ou visualização, o arquivo EXE do worm é executado automaticamente.

A Microsoft já lançou um patch que elimina essa vulnerabilidade. Informações adicionais podem ser encontradas aqui: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Furtividade

O worm intercepta as chamadas do sistema FindFile e FindProcess do Windows (FindFirstFileA, FindNextFileA, Process32First, Process32Next). O worm processa essas chamadas para que sua cópia no diretório "startup" (veja acima) não seja reportada. Como resultado, o arquivo worm não é visível em listas de arquivos e processos.