ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO. Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Soluções para:
Produtos domésticos
Pequenas empresas
Empresas médias
Grandes empresas
Vulnerabilidades Ameaças
Início Ameaças Email-Worm Win32

Email-Worm.Win32.Swen

Classe
Email-Worm
Plataforma
Win32

Classe principal: VirWare

Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.

Classe: Email-Worm

Email-Worms espalhado via email. O worm envia uma cópia de si mesmo como um anexo a uma mensagem de e-mail ou um link para seu arquivo em um recurso de rede (por exemplo, um URL para um arquivo infectado em um site comprometido ou um site de propriedade de hackers). No primeiro caso, o código do worm é ativado quando o anexo infectado é aberto (ativado). No segundo caso, o código é ativado quando o link para o arquivo infectado é aberto. Em ambos os casos, o resultado é o mesmo: o código do worm é ativado. Os worms de email usam uma variedade de métodos para enviar emails infectados. Os mais comuns são: usar uma conexão direta com um servidor SMTP usando o diretório de e-mail embutido no código do worm usando os serviços do MS Outlook usando as funções do Windows MAPI. Os worms de e-mail usam várias fontes diferentes para encontrar endereços de e-mail para os quais os e-mails infectados serão enviados: o catálogo de endereços do MS Outlook, um banco de dados de endereços WAB .txt armazenado no disco rígido: o worm pode identificar quais strings são e-mails de endereços de e-mail na caixa de entrada (alguns worms de e-mail até mesmo “respondem” a e-mails encontrados na caixa de entrada) Muitos worms de e-mail usam mais de uma das fontes listadas acima. Há também outras fontes de endereços de e-mail, como catálogos de endereços associados a serviços de e-mail baseados na web.

Plataforma: Win32

O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.

Descrição

Detalhes técnicos

O Swen é um vírus de worms muito perigoso que se espalha pela Internet via e-mail (na forma de um anexo de arquivo infectado), a rede de compartilhamento de arquivos do Kazaa, canais de IRC e recursos de rede abertos.

Swen é escrito em Microsoft Visual C ++ e é 105 KB (106496 bytes) em tamanho.

O worm é ativado quando a vítima inicia o arquivo infectado (clicando duas vezes no arquivo anexo) ou quando o aplicativo de e-mail da vítima é vulnerável à vulnerabilidade do IFrame.FileDownload (também explorada pelos worms da Internet, Klez e Tanatos ). Uma vez executado, o Swen se instala no sistema e inicia sua rotina de propagação.

Você pode baixar a correção lançada em março de 2001 para a vulnerabilidade do IFrame: Microsoft Security Bulletin MS01-20 .

O worm bloqueia muitos programas e firewalls antivírus. Seu algoritmo e partes do texto do código são quase idênticos aos de outro worm da Internet chamado I-Worm.Gibe , embora a linguagem de programação usada seja diferente.


Instalação

Quando lançado pela primeira vez, o worm pode exibir a caixa de mensagem "Microsoft Internet Update Pack". Então imita a instalação do patch:

O worm então se copia sob um dos nomes abaixo no diretório do Windows. O nome pode consistir em várias partes.

Primeira possibilidade:

  1. Kazaa Lite
    KaZaA media desktop
    KaZaA
    WinRar
    WinZip
    Winamp
    Mirc
    Acelerador de download
    FTP GetRight
    Windows Media Player

  2. Gerador de chaves
    Hackear
    Hackeado
    Warez
    Envio
    instalador
    Envio
    instalador

Segunda possibilidade:

  1. Pesadelo
    Yaha
    Gibe
    Sircam
    Tão grande
    Klez

  2. Removedor
    Ferramenta de remoção
    Limpador
    Fixtool

Terceira possibilidade:

Aol Hacker
Yahoo Hacker
Hacker do Hotmail
10.000 séries
Jenna Jameson
Hardporn
Sexo
Emulador de Xbox
Emulador Ps2
Atualização Xp
Vídeo xxx
Piada doentia
Fotos de Xxx
Minha irmã nua
Screensaver alucinogênico
Cozinhando Com Cannabis
Cogumelos Mágicos Crescendo
Gerador de vírus

O novo arquivo é registrado na chave de execução automática do registro do sistema Windows: 

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun  seqüência aleatória =% windir% nome do arquivo autorun

Uma chave de identificação é criada, que contém as configurações de worms: 

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer  seqüência aleatória

O worm então cria um arquivo com o nome da máquina host infectada com uma extensão BAT na pasta Windows. O arquivo contém seguindo os comandos:

@ECHO OFF
SE NÃO "% 1" == "" .exe% 1

Em seguida, o worm altera os valores de chave em HKLMSoftwareClasses de modo a ligar à execução toda vez que os tipos de arquivo BAT, COM, EXE, PIF, REG e SCR são iniciados. 

 HKCRbatfileshellopencommand  Padrão =% windir%  "% 1"% *HKCRcomfileshellopencommand  Padrão =% windir%  "% 1"% *   HKEY_CLASSES_ROOTexefileshellopencommand  Padrão =% windir%  "% 1"% *HKCRpiffileshellopencommand  Padrão =% windir%  "% 1"% *HKCRregfileshellopencommand  Padrão =% windir%  showerrorHKCRscrfileshellconfigcommand  Padrão =% windir%  "% 1"  HKCRscrfileshellopencommand  Padrão =% windir%  "% 1" / S

Desativa o recurso do usuário para editar o registro do sistema: 

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem  DisableRegistryTools = 01 00 00 00

Quando lançado pela primeira vez, o worm acessa o seguinte site remoto:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Este contador indica o número de computadores infectados.

Ao tentar executar uma nova cópia do worm na máquina já infectada, o worm exibe a seguinte mensagem:

O worm verifica todos os discos para arquivos com extensões DBX, MDX, EML, WAB e também que contêm HT ou ASP na extensão. Swem então extrai qualquer endereço de e-mail que possa encontrar e os salva em um arquivo chamado germs0.dbv .

O worm tenta se conectar a um dos 350 servidores identificados no arquivo swen1.dat , a fim de enviar e-mails infectados. Se a conexão for impossível, o worm exibirá a seguinte mensagem de erro sobre uma exceção MAPI 32:

e solicita um endereço de e-mail correto, bem como um servidor SMTP correto.


Propagação via email

O worm se auto-envia para todos os endereços disponíveis usando uma conexão direta com um servidor SMTP. Os emails infectados estão no formato HTML e contêm um anexo (o worm real).

Nome do remetente (consiste em várias partes):

  1. Microsoft
    SENHORA

  2. (não pode ser usado)
    Corporação

  3. (não pode ser usado)
    Programa
    Internet
    Rede

  4. (sempre incluído na parte 3)
    Segurança

  5. (não pode ser usado)
    Divisão
    Seção
    Departamento
    Centro

  6. (não pode ser usado)
    Público
    Técnico
    Cliente

  7. (não pode ser usado)
    Boletim
    Serviços
    Assistência
    Apoio, suporte

Por exemplo:

Seção de segurança da Internet da Microsoft
Assistência Técnica MS

Endereço do remetente (consiste em 2 partes):

  • antes de "@": seqüência aleatória (exemplo: tuevprkpevcg-gxwi @, dwffa @);
  • depois de "@": consiste em 2 partes (embora apenas uma possa ser usada):

    1. notícia
      Boletim de Notícias
      boletim
      confiança
      orientador
      atualizações
      technet
      Apoio, suporte

    2. msdn
      microsoft
      Senhora
      msn

    Por exemplo: "newsletter.microsoft" ou simplesmente "suporte". Se duas partes forem usadas, elas serão separadas por "." Ou "_".

    Depois de "." o domínio é "com" ou "net".

Assunto (consiste em várias partes):

  1. Mais recentes
    Novo
    Último
    O mais novo
    Atual

  2. Líquido
    Rede
    Microsoft
    Internet

  3. Segurança
    Crítico

  4. Atualizar
    Pacote
    Atualizar
    Patch

Corpo:

Cliente MS (Consumidor, Parceiro, Usuário - escolhido aleatoriamente)
esta é a última versão da atualização de segurança, a
Atualização de "setembro de 2003, Patch cumulativo" que resolve
todas as vulnerabilidades de segurança conhecidas que afetam
MS Internet Explorer, MS Outlook e MS Outlook Express.
Instale agora para proteger seu computador
dessas vulnerabilidades, a mais séria das quais poderia
permitir que um invasor execute código em seu sistema.
Esta atualização inclui a funcionalidade =
de todos os patches lançados anteriormente.

Requisitos do sistema: Windows 95/98 / Me / 2000 / NT / XP
Esta atualização se aplica a:
- MS Internet Explorer, versão 4.01 e posterior
- MS Outlook, versão 8.00 e posterior
- MS Outlook Express, versão 4.01 e posterior

Recomendação: os clientes devem instalar o patch =
Na primeira oportunidade.
Como instalar: Execute o arquivo anexado. Escolha Sim na caixa de diálogo exibida.
Como usar: Você não precisa fazer nada depois de instalar este item.

Assinatura:

Artigos de suporte técnico da Microsoft e artigos da base de dados de conhecimento =
pode ser encontrado no site do Suporte Técnico da Microsoft.
http://support.microsoft.com/

Para informações relacionadas à segurança sobre produtos da Microsoft, por favor =
visite o site do Microsoft Security Advisor
http://www.microsoft.com/security/

Obrigado por usar produtos da Microsoft.

Por favor, não responda a esta mensagem.
Foi enviado de um endereço de e-mail não monitorado e não conseguimos
para responder a qualquer resposta.

----------------------------------------------
Os nomes das empresas e produtos reais mencionados =
aqui são marcas registradas de seus respectivos proprietários.

Nome do anexo:

patch [número aleatório] .exe
instale [random number] .exe
q [número aleatório] .exe
atualizar [número aleatório] .exe

O conteúdo real do corpo pode ser menos complicado, dependendo de várias circunstâncias.

  • O assunto pode conter:

    Carta
    Aconselhar
    mensagem
    Anúncio
    Relatório
    Aviso prévio
    Erro
    Erro
    Abortar
    Falhou
    Usuário desconhecido

  • O corpo pode conter:

    Oi!
    Este é o programa qmail
    Mensagem de [valor aleatório]
    Eu sinto Muito
    Sinto muito ter que informar isso
    Estou com medo
    Infelizmente, não consegui enviar sua mensagem para os seguintes endereços
    a mensagem retornada abaixo não pôde ser entregue
    Eu não consegui entregar sua mensagem
    para um ou mais destinos

Em alguns casos, o worm pode enviar cópias de si mesmo em formato arquivado - ZIP ou RAR.


Propagação via Kazaa

Swen se propaga através da rede de compartilhamento de arquivos Kazaa copiando a si mesmo sob nomes aleatórios no diretório de troca de arquivos no Kazaa Lite. Ele também cria um subdiretório na pasta Temp do Windows com nomes aleatórios, fazendo várias cópias de si mesmo com nomes aleatórios também.

Esta pasta é identificada no registro do sistema Windows como Conteúdo local para o sistema de compartilhamento de arquivos Kazaa. 

 HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% nome da pasta

Como resultado, os novos arquivos criados por Swen ficam disponíveis para outros usuários da rede Kazaa.


Propagação via canais IRC

O worm verifica o cliente mIRC instalado. Se for detectado, Swen, em seguida, modifica o arquivo script.ini adicionando seus procedimentos de propagação. Em seguida, o arquivo scrip.ini envia o arquivo infectado do diretório do Windows para todos os usuários que se conectam ao canal de IRC que agora está infectado.


Propagação via LAN

O worm verifica todas as unidades disponíveis. Se encontrar uma unidade de rede, ela copia a si própria nas seguintes pastas sob um nome aleatório:

windowsall users inicie o menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
documento e configurações todos os usuários iniciam o programa de menu
documento e configuraçõesdefault userstart menuprogramsstartup
documento e configuraçõesadministradorstart menuprogramsstartup
winntprofilesall usersstart menuprogramsstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup


De outros

O worm tenta bloquear o lançamento e o funcionamento de vários softwares e firewalls antivírus: 

 _avpackwin32anti-trojanaplicações32apvxdwinautodownavconsolave32avgcc32avgctrlavgwavkservavntavpavsched32avwin95avwupd32blackdgelo pretobootwarnccappccshtdwncfiadmincfiauditcfindcfinetclaw95dv95ecengineefinet32esafeespwatchf-agnt95findvirufprotf-protfprot95f-prot95fp-winfrwf-stopwgibeiamappiamservibmasnibmavspicload95icloadnticmonlua de melicssuppnticsuppifaceiomon98jedi 
 kpfw32lockdown2000tenha cuidadoluallmoolivempftraymsconfignai_vs_statnavapw32navlu32navntnavschednavwnisumnmainnormistanupdatenupgradenvc95posto avançadoPadminpavclpavimentadopavwpcciomonpccmainpccwin98pcfwalliconpersfwpop3trappviewRavregeditresgatarsafewebserv95esfingevarrertcatds2vcleanervcontrolvet32vet95vet98vettrayvscanvsecomrvshwin32vsstatwebtrapwfindv32zaproAlarme de zona
Quando estes são lançados, o Swen exibe a seguinte mensagem de erro falsa:



Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com

Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!
Novo Kaspersky!
Sua vida dgital merece proteção completa!
Saber mais
Kaspersky Next:
cibersegurança redefinida
Saber mais
Related articles
11 July 2024
Securelist
When spear phishing met mass phishing
09 July 2024
Securelist
Developing and prioritizing a detection engineering backlog based on MITRE ATT&CK
08 July 2024
Securelist
CloudSorcerer – A new APT targeting Russian government entities
25 June 2024
Securelist
Cybersecurity in the SMB space — a growing threat
24 June 2024
Securelist
XZ backdoor: Hook analysis
18 June 2024
Securelist
Analysis of user password strength
Encontrou uma imprecisão na descrição desta vulnerabilidade?
Se você encontrou uma nova Ameaça ou Vulnerabilidade, por favor, nos avise por e-mail:
newvirus@kaspersky.com
Encontrou uma nova Ameaça ou Vulnerabilidade?
Se você encontrou uma nova Ameaça ou Vulnerabilidade, por favor, nos avise por e-mail:
newvirus@kaspersky.com
Soluções para
Produtos domésticos
Pequenas empresas
Empresas médias
Grandes empresas
Select language
Sorting
Ameaça
Confirm changes?
Your message has been sent successfully.