ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Quamo

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um vírus que se espalha pela Internet conectado a e-mails infectados. O worm em si é um arquivo EXE do Windows PE com cerca de 57 Kb de comprimento, e está escrito em Visual Basic Script.

As mensagens infectadas contêm assuntos, corpos e nomes de arquivos anexados que são selecionados aleatoriamente das seguintes variantes:

Assuntos:

Algo muito especial
Eu sei que você vai gostar disso
Sim, algo que posso compartilhar com você
Espere até ver isso!
Um novo jogo! espero que você goste

Corpos (textos de uma linha):

Ei você, dê uma olhada no arquivo anexado. Você não vai acreditar em seus olhos quando abrir!
Você gosta de jogos como o Quake? Você vai apreciar este.
Você viu as fotos de mim e meu namorado operado por bateria?

bem como (textos multilinhas):

Minha melhor amiga,
Isso é algo que você tem que ver!
Até a próxima

A Internet é segura?
Confira

Arquivo anexo:

Execução de arquivo infectado

O worm é ativado a partir de um e-mail infectado somente quando um usuário clica no arquivo anexado, exibindo o seguinte:

Ao mesmo tempo, o worm se instala no sistema. No caso do botão [Next] ser pressionado, nada acontece (exceto a instalação das cópias do worm no sistema), e o aplicativo do worm simplesmente termina. Quando o botão [Cancelar] é pressionado, o worm inicia sua rotina de distribuição de e-mail.

Instalando

Durante a instalação no sistema, o worm cria o novo diretório C: EIRAM e se copia usando os seguintes nomes:

c: eiramquake4demo.exe
f: quake4demo.exe (se esta unidade existir)

e, em seguida, registra esses arquivos nas chaves de execução automática do Registro:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
"quake" = "c: eiramquake4demo.exe"
"Q4" = "f: quake4demo.exe"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Q4" = "c: eiramquake4demo.exe"
"quake" = "f: quake4demo.exe"

Mais tarde, ao enviar mensagens de e-mail, o worm também pode criar mais cópias no diretório do Windows:

honey.exe
quake4demo.exe
setup.exe

Espalhando

A rotina de propagação de e-mails é ativada somente quando o usuário pressiona o botão [Cancelar] na caixa de mensagens (veja acima).

Para enviar mensagens infectadas, o worm usa o MS Outlook e envia mensagens para todos os endereços encontrados no catálogo de endereços do Outlook.

Carga útil

A cada início, o worm ativa sua rotina payload, que procura os seguintes arquivos: * .exe, * .xls, * .doc, * .mdb, * .htm, * .html, * .txt, * .ocx e sobrescreve-os com o seguinte texto:

Você não protegeu seus arquivos bem o suficiente
Que isso sirva de lição! Nunca confie em outra pessoa
eiram 1999-2001


Link para o original