..
Click anywhere to stop
Click anywhere to stop
ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.
Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe | Email-Worm | ||
Plataforma | Win32 | ||
Descrição |
Detalhes técnicosO Swen é um vírus de worms muito perigoso que se espalha pela Internet via e-mail (na forma de um anexo de arquivo infectado), a rede de compartilhamento de arquivos do Kazaa, canais de IRC e recursos de rede abertos. Swen é escrito em Microsoft Visual C ++ e é 105 KB (106496 bytes) em tamanho. O worm é ativado quando a vítima inicia o arquivo infectado (clicando duas vezes no arquivo anexo) ou quando o aplicativo de e-mail da vítima é vulnerável à vulnerabilidade do IFrame.FileDownload (também explorada pelos worms da Internet, Klez e Tanatos ). Uma vez executado, o Swen se instala no sistema e inicia sua rotina de propagação. Você pode baixar a correção lançada em março de 2001 para a vulnerabilidade do IFrame: Microsoft Security Bulletin MS01-20 . O worm bloqueia muitos programas e firewalls antivírus. Seu algoritmo e partes do texto do código são quase idênticos aos de outro worm da Internet chamado I-Worm.Gibe , embora a linguagem de programação usada seja diferente. Instalação Quando lançado pela primeira vez, o worm pode exibir a caixa de mensagem "Microsoft Internet Update Pack". Então imita a instalação do patch: O worm então se copia sob um dos nomes abaixo no diretório do Windows. O nome pode consistir em várias partes. Primeira possibilidade:
Segunda possibilidade:
Terceira possibilidade:
O novo arquivo é registrado na chave de execução automática do registro do sistema Windows: HKLMSoftwareMicrosoftWindowsCurrentVersionRun seqüência aleatória =% windir% nome do arquivo autorun Uma chave de identificação é criada, que contém as configurações de worms: HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer seqüência aleatória O worm então cria um arquivo com o nome da máquina host infectada com uma extensão BAT na pasta Windows. O arquivo contém seguindo os comandos:
Em seguida, o worm altera os valores de chave em HKLMSoftwareClasses de modo a ligar à execução toda vez que os tipos de arquivo BAT, COM, EXE, PIF, REG e SCR são iniciados. HKCRbatfileshellopencommand Padrão =% windir% Desativa o recurso do usuário para editar o registro do sistema: HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools = 01 00 00 00 Quando lançado pela primeira vez, o worm acessa o seguinte site remoto:
Este contador indica o número de computadores infectados. Ao tentar executar uma nova cópia do worm na máquina já infectada, o worm exibe a seguinte mensagem: O worm verifica todos os discos para arquivos com extensões DBX, MDX, EML, WAB e também que contêm HT ou ASP na extensão. Swem então extrai qualquer endereço de e-mail que possa encontrar e os salva em um arquivo chamado germs0.dbv . O worm tenta se conectar a um dos 350 servidores identificados no arquivo swen1.dat , a fim de enviar e-mails infectados. Se a conexão for impossível, o worm exibirá a seguinte mensagem de erro sobre uma exceção MAPI 32: e solicita um endereço de e-mail correto, bem como um servidor SMTP correto. Propagação via email O worm se auto-envia para todos os endereços disponíveis usando uma conexão direta com um servidor SMTP. Os emails infectados estão no formato HTML e contêm um anexo (o worm real). Nome do remetente (consiste em várias partes):
Por exemplo:
Endereço do remetente (consiste em 2 partes):
Assunto (consiste em várias partes):
Corpo:
Assinatura:
Nome do anexo:
O conteúdo real do corpo pode ser menos complicado, dependendo de várias circunstâncias.
Em alguns casos, o worm pode enviar cópias de si mesmo em formato arquivado – ZIP ou RAR. Propagação via Kazaa Swen se propaga através da rede de compartilhamento de arquivos Kazaa copiando a si mesmo sob nomes aleatórios no diretório de troca de arquivos no Kazaa Lite. Ele também cria um subdiretório na pasta Temp do Windows com nomes aleatórios, fazendo várias cópias de si mesmo com nomes aleatórios também. Esta pasta é identificada no registro do sistema Windows como Conteúdo local para o sistema de compartilhamento de arquivos Kazaa. HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% nome da pasta Como resultado, os novos arquivos criados por Swen ficam disponíveis para outros usuários da rede Kazaa. Propagação via canais IRC O worm verifica o cliente mIRC instalado. Se for detectado, Swen, em seguida, modifica o arquivo script.ini adicionando seus procedimentos de propagação. Em seguida, o arquivo scrip.ini envia o arquivo infectado do diretório do Windows para todos os usuários que se conectam ao canal de IRC que agora está infectado. Propagação via LAN O worm verifica todas as unidades disponíveis. Se encontrar uma unidade de rede, ela copia a si própria nas seguintes pastas sob um nome aleatório:
De outros O worm tenta bloquear o lançamento e o funcionamento de vários softwares e firewalls antivírus:
Quando estes são lançados, o Swen exibe a seguinte mensagem de erro falsa: |
||
Link para o original |
|||
Descubra as estatísticas das ameaças que se espalham em sua região |