ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Scooter

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um worm da Internet que se espalha em e-mails infectados e envia suas cópias para os canais do IRC. O worm em si é um arquivo executável do Windows com cerca de 200K de comprimento escrito em Microsoft Visual C ++. Foi descoberto na natureza em setembro de 2000 em formato comprimido de cerca de 170K de comprimento (comprimido pela utilidade PECompact).

O worm está relacionado ao worm da Internet "Scrambler" .

Quando um arquivo infectado é executado, o worm cria sua cópia no diretório do sistema Windows. Esse arquivo tem um nome aleatório de 5 letras, por exemplo: BJEFG.EXE, FBHGE.EXE. Esse arquivo será usado posteriormente para enviar cópias de worm para os canais de Internet e IRC.

Para se espalhar para os canais de IRC, o worm infecta o cliente mIRC criando (sobrescrevendo) um arquivo SCRIPT.INI nos diretórios mIRC padrão em todas as unidades de C: a F: os nomes dos arquivos afetados aparecem da seguinte maneira:

mircscript.ini
PROGRA ~ 1mircscript.ini

O worm escreve um pequeno script lá que envia sua cópia para cada usuário que entra no canal infectado.

Para enviar mensagens de e-mail infectadas, o worm cria o programa de script SCOOTER.VBS VisualBasic no diretório de sistema do Windows e grava um programa de script que conecta o MS Outlook e envia mensagens de e-mail aos primeiros 90 usuários do catálogo de endereços do MS Outlook. As mensagens têm um anexo infectado (cópia do worm) e o assunto é:

Mais rápido .. mais difícil .. o seu PC funcionará como uma scooter!

O corpo da mensagem está vazio. O worm então gera esse script e se espalha para a Internet como resultado.

Para evitar o envio duplicado, o worm cria o arquivo SCOOTER.SYS no diretório do sistema Windows e grava o texto lá:

Mais rápido .. mais difícil .. scooter!

Se tal arquivo existir (com qualquer dado interno), o worm ignorará o envio de e-mails infectados.

Para disfarçar sua atividade, o worm extrai de seu corpo o arquivo de música SCOOTER.MP3 e o abre.


Link para o original