Searching
..

Click anywhere to stop

ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Swen

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

O Swen é um vírus de worms muito perigoso que se espalha pela Internet via e-mail (na forma de um anexo de arquivo infectado), a rede de compartilhamento de arquivos do Kazaa, canais de IRC e recursos de rede abertos.

Swen é escrito em Microsoft Visual C ++ e é 105 KB (106496 bytes) em tamanho.

O worm é ativado quando a vítima inicia o arquivo infectado (clicando duas vezes no arquivo anexo) ou quando o aplicativo de e-mail da vítima é vulnerável à vulnerabilidade do IFrame.FileDownload (também explorada pelos worms da Internet, Klez e Tanatos ). Uma vez executado, o Swen se instala no sistema e inicia sua rotina de propagação.

Você pode baixar a correção lançada em março de 2001 para a vulnerabilidade do IFrame: Microsoft Security Bulletin MS01-20 .

O worm bloqueia muitos programas e firewalls antivírus. Seu algoritmo e partes do texto do código são quase idênticos aos de outro worm da Internet chamado I-Worm.Gibe , embora a linguagem de programação usada seja diferente.

Instalação

Quando lançado pela primeira vez, o worm pode exibir a caixa de mensagem "Microsoft Internet Update Pack". Então imita a instalação do patch:

O worm então se copia sob um dos nomes abaixo no diretório do Windows. O nome pode consistir em várias partes.

Primeira possibilidade:

  1. Kazaa Lite
    KaZaA media desktop
    KaZaA
    WinRar
    WinZip
    Winamp
    Mirc
    Acelerador de download
    FTP GetRight
    Windows Media Player
  2. Gerador de chaves
    Hackear
    Hackeado
    Warez
    Envio
    instalador
    Envio
    instalador

Segunda possibilidade:

  1. Pesadelo
    Yaha
    Gibe
    Sircam
    Tão grande
    Klez
  2. Removedor
    Ferramenta de remoção
    Limpador
    Fixtool

Terceira possibilidade:

Aol Hacker
Yahoo Hacker
Hacker do Hotmail
10.000 séries
Jenna Jameson
Hardporn
Sexo
Emulador de Xbox
Emulador Ps2
Atualização Xp
Vídeo xxx
Piada doentia
Fotos de Xxx
Minha irmã nua
Screensaver alucinogênico
Cozinhando Com Cannabis
Cogumelos Mágicos Crescendo
Gerador de vírus

O novo arquivo é registrado na chave de execução automática do registro do sistema Windows:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun  seqüência aleatória =% windir% nome do arquivo autorun 

Uma chave de identificação é criada, que contém as configurações de worms:

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer  seqüência aleatória 

O worm então cria um arquivo com o nome da máquina host infectada com uma extensão BAT na pasta Windows. O arquivo contém seguindo os comandos:

@ECHO OFF
SE NÃO "% 1" == "" .exe% 1

Em seguida, o worm altera os valores de chave em HKLMSoftwareClasses de modo a ligar à execução toda vez que os tipos de arquivo BAT, COM, EXE, PIF, REG e SCR são iniciados.

 HKCRbatfileshellopencommand  Padrão =% windir%  "% 1"% *HKCRcomfileshellopencommand  Padrão =% windir%  "% 1"% *   HKEY_CLASSES_ROOTexefileshellopencommand  Padrão =% windir%  "% 1"% *HKCRpiffileshellopencommand  Padrão =% windir%  "% 1"% *HKCRregfileshellopencommand  Padrão =% windir%  showerrorHKCRscrfileshellconfigcommand  Padrão =% windir%  "% 1"  HKCRscrfileshellopencommand  Padrão =% windir%  "% 1" / S 

Desativa o recurso do usuário para editar o registro do sistema:

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem  DisableRegistryTools = 01 00 00 00 

Quando lançado pela primeira vez, o worm acessa o seguinte site remoto:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Este contador indica o número de computadores infectados.

Ao tentar executar uma nova cópia do worm na máquina já infectada, o worm exibe a seguinte mensagem:

O worm verifica todos os discos para arquivos com extensões DBX, MDX, EML, WAB e também que contêm HT ou ASP na extensão. Swem então extrai qualquer endereço de e-mail que possa encontrar e os salva em um arquivo chamado germs0.dbv .

O worm tenta se conectar a um dos 350 servidores identificados no arquivo swen1.dat , a fim de enviar e-mails infectados. Se a conexão for impossível, o worm exibirá a seguinte mensagem de erro sobre uma exceção MAPI 32:

e solicita um endereço de e-mail correto, bem como um servidor SMTP correto.

Propagação via email

O worm se auto-envia para todos os endereços disponíveis usando uma conexão direta com um servidor SMTP. Os emails infectados estão no formato HTML e contêm um anexo (o worm real).

Nome do remetente (consiste em várias partes):

  1. Microsoft
    SENHORA
  2. (não pode ser usado)
    Corporação
  3. (não pode ser usado)
    Programa
    Internet
    Rede
  4. (sempre incluído na parte 3)
    Segurança
  5. (não pode ser usado)
    Divisão
    Seção
    Departamento
    Centro
  6. (não pode ser usado)
    Público
    Técnico
    Cliente
  7. (não pode ser usado)
    Boletim
    Serviços
    Assistência
    Apoio, suporte

Por exemplo:

Seção de segurança da Internet da Microsoft
Assistência Técnica MS

Endereço do remetente (consiste em 2 partes):

  • antes de "@": seqüência aleatória (exemplo: tuevprkpevcg-gxwi @, dwffa @);
  • depois de "@": consiste em 2 partes (embora apenas uma possa ser usada):
    1. notícia
      Boletim de Notícias
      boletim
      confiança
      orientador
      atualizações
      technet
      Apoio, suporte
    2. msdn
      microsoft
      Senhora
      msn

    Por exemplo: "newsletter.microsoft" ou simplesmente "suporte". Se duas partes forem usadas, elas serão separadas por "." Ou "_".

    Depois de "." o domínio é "com" ou "net".

Assunto (consiste em várias partes):

  1. Mais recentes
    Novo
    Último
    O mais novo
    Atual
  2. Líquido
    Rede
    Microsoft
    Internet
  3. Segurança
    Crítico
  4. Atualizar
    Pacote
    Atualizar
    Patch

Corpo:

Cliente MS (Consumidor, Parceiro, Usuário – escolhido aleatoriamente)
esta é a última versão da atualização de segurança, a
Atualização de "setembro de 2003, Patch cumulativo" que resolve
todas as vulnerabilidades de segurança conhecidas que afetam
MS Internet Explorer, MS Outlook e MS Outlook Express.
Instale agora para proteger seu computador
dessas vulnerabilidades, a mais séria das quais poderia
permitir que um invasor execute código em seu sistema.
Esta atualização inclui a funcionalidade =
de todos os patches lançados anteriormente.

Requisitos do sistema: Windows 95/98 / Me / 2000 / NT / XP
Esta atualização se aplica a:
– MS Internet Explorer, versão 4.01 e posterior
– MS Outlook, versão 8.00 e posterior
– MS Outlook Express, versão 4.01 e posterior

Recomendação: os clientes devem instalar o patch =
Na primeira oportunidade.
Como instalar: Execute o arquivo anexado. Escolha Sim na caixa de diálogo exibida.
Como usar: Você não precisa fazer nada depois de instalar este item.

Assinatura:

Artigos de suporte técnico da Microsoft e artigos da base de dados de conhecimento =
pode ser encontrado no site do Suporte Técnico da Microsoft.
http://support.microsoft.com/

Para informações relacionadas à segurança sobre produtos da Microsoft, por favor =
visite o site do Microsoft Security Advisor
http://www.microsoft.com/security/

Obrigado por usar produtos da Microsoft.

Por favor, não responda a esta mensagem.
Foi enviado de um endereço de e-mail não monitorado e não conseguimos
para responder a qualquer resposta.

———————————————-
Os nomes das empresas e produtos reais mencionados =
aqui são marcas registradas de seus respectivos proprietários.

Nome do anexo:

patch [número aleatório] .exe
instale [random number] .exe
q [número aleatório] .exe
atualizar [número aleatório] .exe

O conteúdo real do corpo pode ser menos complicado, dependendo de várias circunstâncias.

  • O assunto pode conter:

    Carta
    Aconselhar
    mensagem
    Anúncio
    Relatório
    Aviso prévio
    Erro
    Erro
    Abortar
    Falhou
    Usuário desconhecido

  • O corpo pode conter:

    Oi!
    Este é o programa qmail
    Mensagem de [valor aleatório]
    Eu sinto Muito
    Sinto muito ter que informar isso
    Estou com medo
    Infelizmente, não consegui enviar sua mensagem para os seguintes endereços
    a mensagem retornada abaixo não pôde ser entregue
    Eu não consegui entregar sua mensagem
    para um ou mais destinos

Em alguns casos, o worm pode enviar cópias de si mesmo em formato arquivado – ZIP ou RAR.

Propagação via Kazaa

Swen se propaga através da rede de compartilhamento de arquivos Kazaa copiando a si mesmo sob nomes aleatórios no diretório de troca de arquivos no Kazaa Lite. Ele também cria um subdiretório na pasta Temp do Windows com nomes aleatórios, fazendo várias cópias de si mesmo com nomes aleatórios também.

Esta pasta é identificada no registro do sistema Windows como Conteúdo local para o sistema de compartilhamento de arquivos Kazaa.

 HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% nome da pasta 

Como resultado, os novos arquivos criados por Swen ficam disponíveis para outros usuários da rede Kazaa.

Propagação via canais IRC

O worm verifica o cliente mIRC instalado. Se for detectado, Swen, em seguida, modifica o arquivo script.ini adicionando seus procedimentos de propagação. Em seguida, o arquivo scrip.ini envia o arquivo infectado do diretório do Windows para todos os usuários que se conectam ao canal de IRC que agora está infectado.

Propagação via LAN

O worm verifica todas as unidades disponíveis. Se encontrar uma unidade de rede, ela copia a si própria nas seguintes pastas sob um nome aleatório:

windowsall users inicie o menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
documento e configurações todos os usuários iniciam o programa de menu
documento e configuraçõesdefault userstart menuprogramsstartup
documento e configuraçõesadministradorstart menuprogramsstartup
winntprofilesall usersstart menuprogramsstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

De outros

O worm tenta bloquear o lançamento e o funcionamento de vários softwares e firewalls antivírus:

 _avpackwin32anti-trojanaplicações32apvxdwinautodownavconsolave32avgcc32avgctrlavgwavkservavntavpavsched32avwin95avwupd32blackdgelo pretobootwarnccappccshtdwncfiadmincfiauditcfindcfinetclaw95dv95ecengineefinet32esafeespwatchf-agnt95findvirufprotf-protfprot95f-prot95fp-winfrwf-stopwgibeiamappiamservibmasnibmavspicload95icloadnticmonlua de melicssuppnticsuppifaceiomon98jedi 
 kpfw32lockdown2000tenha cuidadoluallmoolivempftraymsconfignai_vs_statnavapw32navlu32navntnavschednavwnisumnmainnormistanupdatenupgradenvc95posto avançadoPadminpavclpavimentadopavwpcciomonpccmainpccwin98pcfwalliconpersfwpop3trappviewRavregeditresgatarsafewebserv95esfingevarrertcatds2vcleanervcontrolvet32vet95vet98vettrayvscanvsecomrvshwin32vsstatwebtrapwfindv32zaproAlarme de zona 

Quando estes são lançados, o Swen exibe a seguinte mensagem de erro falsa:


Link para o original
Descubra as estatísticas das ameaças que se espalham em sua região