ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Swen

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

O Swen é um vírus de worms muito perigoso que se espalha pela Internet via e-mail (na forma de um anexo de arquivo infectado), a rede de compartilhamento de arquivos do Kazaa, canais de IRC e recursos de rede abertos.

Swen é escrito em Microsoft Visual C ++ e é 105 KB (106496 bytes) em tamanho.

O worm é ativado quando a vítima inicia o arquivo infectado (clicando duas vezes no arquivo anexo) ou quando o aplicativo de e-mail da vítima é vulnerável à vulnerabilidade do IFrame.FileDownload (também explorada pelos worms da Internet, Klez e Tanatos ). Uma vez executado, o Swen se instala no sistema e inicia sua rotina de propagação.

Você pode baixar a correção lançada em março de 2001 para a vulnerabilidade do IFrame: Microsoft Security Bulletin MS01-20 .

O worm bloqueia muitos programas e firewalls antivírus. Seu algoritmo e partes do texto do código são quase idênticos aos de outro worm da Internet chamado I-Worm.Gibe , embora a linguagem de programação usada seja diferente.

Instalação

Quando lançado pela primeira vez, o worm pode exibir a caixa de mensagem "Microsoft Internet Update Pack". Então imita a instalação do patch:

O worm então se copia sob um dos nomes abaixo no diretório do Windows. O nome pode consistir em várias partes.

Primeira possibilidade:

  1. Kazaa Lite
    KaZaA media desktop
    KaZaA
    WinRar
    WinZip
    Winamp
    Mirc
    Acelerador de download
    FTP GetRight
    Windows Media Player
  2. Gerador de chaves
    Hackear
    Hackeado
    Warez
    Envio
    instalador
    Envio
    instalador

Segunda possibilidade:

  1. Pesadelo
    Yaha
    Gibe
    Sircam
    Tão grande
    Klez
  2. Removedor
    Ferramenta de remoção
    Limpador
    Fixtool

Terceira possibilidade:

Aol Hacker
Yahoo Hacker
Hacker do Hotmail
10.000 séries
Jenna Jameson
Hardporn
Sexo
Emulador de Xbox
Emulador Ps2
Atualização Xp
Vídeo xxx
Piada doentia
Fotos de Xxx
Minha irmã nua
Screensaver alucinogênico
Cozinhando Com Cannabis
Cogumelos Mágicos Crescendo
Gerador de vírus

O novo arquivo é registrado na chave de execução automática do registro do sistema Windows:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  seqüência aleatória =% windir% nome do arquivo autorun 

Uma chave de identificação é criada, que contém as configurações de worms:

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer
  seqüência aleatória 

O worm então cria um arquivo com o nome da máquina host infectada com uma extensão BAT na pasta Windows. O arquivo contém seguindo os comandos:

@ECHO OFF
SE NÃO "% 1" == "" .exe% 1

Em seguida, o worm altera os valores de chave em HKLMSoftwareClasses de modo a ligar à execução toda vez que os tipos de arquivo BAT, COM, EXE, PIF, REG e SCR são iniciados.

 HKCRbatfileshellopencommand
  Padrão =% windir%  "% 1"% *

HKCRcomfileshellopencommand
  Padrão =% windir%  "% 1"% *
   
HKEY_CLASSES_ROOTexefileshellopencommand
  Padrão =% windir%  "% 1"% *

HKCRpiffileshellopencommand
  Padrão =% windir%  "% 1"% *

HKCRregfileshellopencommand
  Padrão =% windir%  showerror

HKCRscrfileshellconfigcommand
  Padrão =% windir%  "% 1"
  
HKCRscrfileshellopencommand
  Padrão =% windir%  "% 1" / S 

Desativa o recurso do usuário para editar o registro do sistema:

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
  DisableRegistryTools = 01 00 00 00 

Quando lançado pela primeira vez, o worm acessa o seguinte site remoto:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Este contador indica o número de computadores infectados.

Ao tentar executar uma nova cópia do worm na máquina já infectada, o worm exibe a seguinte mensagem:

O worm verifica todos os discos para arquivos com extensões DBX, MDX, EML, WAB e também que contêm HT ou ASP na extensão. Swem então extrai qualquer endereço de e-mail que possa encontrar e os salva em um arquivo chamado germs0.dbv .

O worm tenta se conectar a um dos 350 servidores identificados no arquivo swen1.dat , a fim de enviar e-mails infectados. Se a conexão for impossível, o worm exibirá a seguinte mensagem de erro sobre uma exceção MAPI 32:

e solicita um endereço de e-mail correto, bem como um servidor SMTP correto.

Propagação via email

O worm se auto-envia para todos os endereços disponíveis usando uma conexão direta com um servidor SMTP. Os emails infectados estão no formato HTML e contêm um anexo (o worm real).

Nome do remetente (consiste em várias partes):

  1. Microsoft
    SENHORA
  2. (não pode ser usado)
    Corporação
  3. (não pode ser usado)
    Programa
    Internet
    Rede
  4. (sempre incluído na parte 3)
    Segurança
  5. (não pode ser usado)
    Divisão
    Seção
    Departamento
    Centro
  6. (não pode ser usado)
    Público
    Técnico
    Cliente
  7. (não pode ser usado)
    Boletim
    Serviços
    Assistência
    Apoio, suporte

Por exemplo:

Seção de segurança da Internet da Microsoft
Assistência Técnica MS

Endereço do remetente (consiste em 2 partes):

  • antes de "@": seqüência aleatória (exemplo: tuevprkpevcg-gxwi @, dwffa @);
  • depois de "@": consiste em 2 partes (embora apenas uma possa ser usada):
    1. notícia
      Boletim de Notícias
      boletim
      confiança
      orientador
      atualizações
      technet
      Apoio, suporte
    2. msdn
      microsoft
      Senhora
      msn

    Por exemplo: "newsletter.microsoft" ou simplesmente "suporte". Se duas partes forem usadas, elas serão separadas por "." Ou "_".

    Depois de "." o domínio é "com" ou "net".

Assunto (consiste em várias partes):

  1. Mais recentes
    Novo
    Último
    O mais novo
    Atual
  2. Líquido
    Rede
    Microsoft
    Internet
  3. Segurança
    Crítico
  4. Atualizar
    Pacote
    Atualizar
    Patch

Corpo:

Cliente MS (Consumidor, Parceiro, Usuário – escolhido aleatoriamente)
esta é a última versão da atualização de segurança, a
Atualização de "setembro de 2003, Patch cumulativo" que resolve
todas as vulnerabilidades de segurança conhecidas que afetam
MS Internet Explorer, MS Outlook e MS Outlook Express.
Instale agora para proteger seu computador
dessas vulnerabilidades, a mais séria das quais poderia
permitir que um invasor execute código em seu sistema.
Esta atualização inclui a funcionalidade =
de todos os patches lançados anteriormente.

Requisitos do sistema: Windows 95/98 / Me / 2000 / NT / XP
Esta atualização se aplica a:
– MS Internet Explorer, versão 4.01 e posterior
– MS Outlook, versão 8.00 e posterior
– MS Outlook Express, versão 4.01 e posterior

Recomendação: os clientes devem instalar o patch =
Na primeira oportunidade.
Como instalar: Execute o arquivo anexado. Escolha Sim na caixa de diálogo exibida.
Como usar: Você não precisa fazer nada depois de instalar este item.

Assinatura:

Artigos de suporte técnico da Microsoft e artigos da base de dados de conhecimento =
pode ser encontrado no site do Suporte Técnico da Microsoft.
http://support.microsoft.com/

Para informações relacionadas à segurança sobre produtos da Microsoft, por favor =
visite o site do Microsoft Security Advisor
http://www.microsoft.com/security/

Obrigado por usar produtos da Microsoft.

Por favor, não responda a esta mensagem.
Foi enviado de um endereço de e-mail não monitorado e não conseguimos
para responder a qualquer resposta.

———————————————-
Os nomes das empresas e produtos reais mencionados =
aqui são marcas registradas de seus respectivos proprietários.

Nome do anexo:

patch [número aleatório] .exe
instale [random number] .exe
q [número aleatório] .exe
atualizar [número aleatório] .exe

O conteúdo real do corpo pode ser menos complicado, dependendo de várias circunstâncias.

  • O assunto pode conter:

    Carta
    Aconselhar
    mensagem
    Anúncio
    Relatório
    Aviso prévio
    Erro
    Erro
    Abortar
    Falhou
    Usuário desconhecido

  • O corpo pode conter:

    Oi!
    Este é o programa qmail
    Mensagem de [valor aleatório]
    Eu sinto Muito
    Sinto muito ter que informar isso
    Estou com medo
    Infelizmente, não consegui enviar sua mensagem para os seguintes endereços
    a mensagem retornada abaixo não pôde ser entregue
    Eu não consegui entregar sua mensagem
    para um ou mais destinos

Em alguns casos, o worm pode enviar cópias de si mesmo em formato arquivado – ZIP ou RAR.

Propagação via Kazaa

Swen se propaga através da rede de compartilhamento de arquivos Kazaa copiando a si mesmo sob nomes aleatórios no diretório de troca de arquivos no Kazaa Lite. Ele também cria um subdiretório na pasta Temp do Windows com nomes aleatórios, fazendo várias cópias de si mesmo com nomes aleatórios também.

Esta pasta é identificada no registro do sistema Windows como Conteúdo local para o sistema de compartilhamento de arquivos Kazaa.

 HKCUSoftwareKazaaLocalContent
 dir99 = 012345:% Windir %% temp% nome da pasta 

Como resultado, os novos arquivos criados por Swen ficam disponíveis para outros usuários da rede Kazaa.

Propagação via canais IRC

O worm verifica o cliente mIRC instalado. Se for detectado, Swen, em seguida, modifica o arquivo script.ini adicionando seus procedimentos de propagação. Em seguida, o arquivo scrip.ini envia o arquivo infectado do diretório do Windows para todos os usuários que se conectam ao canal de IRC que agora está infectado.

Propagação via LAN

O worm verifica todas as unidades disponíveis. Se encontrar uma unidade de rede, ela copia a si própria nas seguintes pastas sob um nome aleatório:

windowsall users inicie o menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
documento e configurações todos os usuários iniciam o programa de menu
documento e configuraçõesdefault userstart menuprogramsstartup
documento e configuraçõesadministradorstart menuprogramsstartup
winntprofilesall usersstart menuprogramsstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

De outros

O worm tenta bloquear o lançamento e o funcionamento de vários softwares e firewalls antivírus:

 _avp
ackwin32
anti-trojan
aplicações32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
avp
avsched32
avwin95
avwupd32
blackd
gelo preto
bootwarn
ccapp
ccshtdwn
cfiadmin
cfiaudit
cfind
cfinet
claw95
dv95
ecengine
efinet32
esafe
espwatch
f-agnt95
findviru
fprot
f-prot
fprot95
f-prot95
fp-win
frw
f-stopw
gibe
iamapp
iamserv
ibmasn
ibmavsp
icload95
icloadnt
icmon
lua de mel
icssuppnt
icsupp
iface
iomon98
jedi 
 kpfw32
lockdown2000
tenha cuidado
luall
moolive
mpftray
msconfig
nai_vs_stat
navapw32
navlu32
navnt
navsched
navw
nisum
nmain
normista
nupdate
nupgrade
nvc95
posto avançado
Padmin
pavcl
pavimentado
pavw
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
pview
Rav
regedit
resgatar
safeweb
serv95
esfinge
varrer
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
Alarme de zona 

Quando estes são lançados, o Swen exibe a seguinte mensagem de erro falsa:


Link para o original