ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Suppl

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um vírus que se espalha através de canais da Internet anexados a mensagens de e-mail como o documento SUPPL.DOC MS Word97. Ele foi postado em vários grupos de notícias em setembro de 1999. Este documento foi criado usando a edição russa do MS Word97, o que significa que o worm tem origem russa ou xUSSR.

Para se instalar no sistema, o worm usa um método que não funciona com o WinNT e, como resultado, o worm é capaz de infectar e se espalhar somente a partir dos sistemas Win9x.

O worm tem uma carga muito perigosa: em uma semana depois de infectar um computador, o worm apaga, em unidades locais e remotas, os arquivos com as seguintes extensões:


DOC XLS RTF RTF DBF ZIP ARJ RAR

O método de apagar é o mesmo usado pelo worm "ZippedFiles" , e os arquivos danificados não são recuperáveis.

Instalando

O documento infectado tem apenas uma macro Document_Open que é executada automaticamente quando o MS Word abre o documento. Esta macro copia seu documento para o diretório de sistema do Windows com o nome ANTHRAX.INI, em seguida, descarta seu componente DLL (que é armazenado no documento infectado) para o mesmo diretório com o nome DLL.TMP. Esse componente DLL é descartado por meio de um arquivo DLL.LZH temporário compactado.

O worm então adiciona instruções de renomeação ao arquivo WININIT.INI. Essas instruções renomeiam o WSOCK32.DLL com o nome WSOCK33.DLL e substituem o WSOCK32.DLL pela biblioteca DLL.TMP do worm. Esse truque faz com que o Windows substitua seu WSOCK32.DLL por uma cópia do worm na próxima reinicialização do Windows.

Ao inicializar suas DLLs, o Windows carrega a DLL infectada (worm) em vez das DLLs originais e, como resultado, o worm obtém acesso às funções da rede.

Espalhando

Na próxima reinicialização do Windows, o WSOCK32.DLL infectado é carregado na memória do sistema e obtém o controle. O worm neste momento obtém acesso e intercepta todas as funções de biblioteca necessárias que a biblioteca WSOCK32 original faz. Para todos eles, exceto dois, o worm apenas encaminha solicitações para funções originais e, para essa finalidade, o worm também carrega o WSOCK33.DLL (biblioteca original) na memória do Windows.

As duas funções são processadas pelo vírus: seus nomes são "enviar" e "conectar". Ao usar essas funções, o worm intercepta os e-mails enviados do computador infectado e anexa sua cópia a esses e-mails como o arquivo SUPPL.DOC.


Link para o original