ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.SysClock

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um worm da Internet (vírus do tipo worm) que se espalha por e-mails, canais de IRC, infecta arquivos em computadores locais e se espalha para uma rede local. Ele também rouba senhas do sistema (arquivos PWL) de computadores infectados, assim como possui muitas rotinas de carga útil perigosas e perigosas. O worm em si tem cerca de 80Kb de tamanho no programa Win32 (PE EXE – Portable Executable) escrito em Delphi, o código worm "puro" ocupa cerca de 20Kb eo restante é o código da biblioteca de tempo de execução Delphi, dados e diversas informações do programa.

O worm chega como um e-mail com uma mensagem falsa (veja abaixo) e anexa o arquivo PKZIP.EXE que é o próprio programa do worm. Quando o worm é executado, ele se instala no sistema, infecta arquivos em uma unidade local, infecta unidades lógicas disponíveis, infecta o cliente mIRC instalado e envia e-mails infectados usando o sistema de e-mail do Eudora.

Instalando no sistema

Para se instalar no sistema, o worm se copia com o nome KERNEL.EXE para o diretório Windows (em máquinas Win95 / 98) ou para o diretório de sistema Windows (no WinNT), e se registra na chave de execução automática do registro do sistema. :


SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe

O worm também possui uma rotina de instalação adicional que instala as cópias do worm em todas as unidades disponíveis. Essa rotina é descrita abaixo.

Infectando um computador

O worm é capaz de infectar cerca de 40 arquivos em um computador e não infecta mais de quatro arquivos em cada execução. O worm infecta arquivos no diretório do Windows:


NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE,
SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE,
USRMGR.EXE

O worm então infecta os programas associados às chaves do Registro:


SOFTWAREClassesAccess.Application.8 shellopencommand
SOFTWAREClassesAudioCD shellplaycommand
SOFTWAREClassesAVComunho shellplay
SOFTWAREClassescolacomputador shellplayfile
SOFTWAREClassesChat shellopencommand
SOFTWAREClientesNotíciasForte Agente shellopencommand
SOFTWAREClassesExcel.Sheet.8 shellopencommand
SOFTWAREClassesdespescimento shellopencommand
SOFTWAREClassesgopile shellopencommand
SOFTWAREClasseshppile shellopencommand
SOFTWAREClassesEudora DefaultIcon
SOFTWAREClassesEudora shellopencommand
SOFTWAREClassesMicrosoft Internet Mail Message shellopencommand
SOFTWAREClassesMicrosoft Internet News Message shellopencommand
SOFTWAREClassesMOVFile shellopencommand
SOFTWAREClassesMsi.Package shellopencommand
SOFTWAREClassespcANYWHERE32 shellopencommand
SOFTWAREClassesQuickView shellopencommand
SOFTWAREClassesRealPlayer.RAM.6 shellopencommand
SOFTWAREClassesWinamp.File shellopencommand
SOFTWAREClassesUnfinished Download do shellopencommand
SOFTWAREClassesUltraEdit-32 Document shellopencommand
SOFTWAREClassesWhiteboard shellopencommand
SOFTWAREClassesvcard_wab_auto_file shellopencommand
SOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exe
SOFTWAREKasperskyLabComponents102EXEName

Ao infectar cada arquivo, o worm usa o método de infecção associada: ele renomeia um arquivo de vítima com oito bytes de nome aleatório e extensão .EXE (por exemplo: GTGUQPPA.EXE, XOHSKVXQ.EXE, etc.) e se coloca com o nome de arquivo original. Como resultado, a cópia do worm será executada sempre que um usuário ou sistema executar o arquivo infectado.

Para retornar o controle de volta ao arquivo host, o worm armazena os nomes dos arquivos na chave do Registro HKCUAppEventsSchemesApps.DefaultSystemStartWindows, por exemplo:


C: WIN95calc.exe "gtguqppa.exe"
C: WIN95mplayer.exe "xohskvxq.exe"
etc

Esta informação pode ser usada para desinfetar o computador.

Para detectar arquivos já infectados, o worm usa a FileVersion que está armazenada nos recursos do arquivo EXE do PE. Nos arquivos infectados, essa variável é definida como "1.3.5.7".

Infectando unidades locais e de rede

O worm também se copia e "registra" as unidades lógicas disponíveis: removível, fixo e rede. Ao infectar arquivos removíveis, o worm procura o arquivo AUTOEXEC.BAT, adiciona uma instrução para executar o arquivo PKZIP.EXE após o carregamento da unidade e copia a si mesmo para a unidade com o nome do arquivo PKZIP.EXE.

Ao infectar os discos rígidos, o worm procura o arquivo PKZIP.EXE nos diretórios raiz dessas unidades e copia a si mesmo com esse nome, se esse arquivo não estiver lá. Para executar este arquivo, o worm cria o arquivo AUTORUN.INF na unidade e grava um bloco de instruções para executar o arquivo PKZIP.EXE (cópia do worm) na próxima versão do Windows:


[autorun]
open = pkzip.exe

Ao infectar uma unidade remota, o worm verifica primeiro a unidade para obter permissão por escrito. Para fazer isso, o worm cria o arquivo TEMP9385.058 e o exclui. Caso nenhum erro tenha ocorrido durante a operação, o worm continua se espalhando para o inversor. Ele se copia para lá com o nome PKZIP.EXE e cria o arquivo AUTORUN.INF da mesma forma que afeta as unidades fixas no computador local. Além disso, o worm procura os diretórios Windows e WinNT na unidade e registra sua cópia PKZIP.EXE no arquivo WIN.INI na instrução [windows] "run". Essa operação também causa a execução de cópia de worm na próxima inicialização do Windows.

Ao infectar unidades de rede, o worm também destrói vários arquivos executáveis, se existirem, e os substitui pela cópia:


Acrobat3ReaderAcrord32.exe
Eudora95Eudora.exe
Arquivos de programasMicrosoft OfficeOfficeOutlook.exe
Arquivos de programasInternet ExplorerIexplore.exe
Arquivos de programasWinZipWinZip32.exe
Arquivos de programasMicrosoft OfficeOfficeWinWord.exe
Arquivos de programasNetscapeProgramNetscape.exe

Infectando o cliente mIRC e se espalhando pelos canais de IRC

Essa rotina é executada dependendo da hora do sistema, não toda vez que os arquivos infectados são executados. Procura o cliente mIRC instalado no sistema acessando o arquivo de script mIRC nos diretórios:


C: MIRCSCRIPT.INI
C: MIRC32SCRIPT.INI
C: Program FilesMIRCSCRIPT.INI
C: Program FilesMIRC32SCRIPT.INI

Se não existirem tais arquivos, o worm deixa a rotina de infecção. Caso contrário, ele sobrescreve o arquivo SCRIPT.INI com instruções que enviam o arquivo C: PKZIP.EXE para todos que entram no canal afetado.

Enviando e-mails infectados

Essa rotina é executada dependendo da hora do sistema, assim como da rotina de infecção do mIRC. Em primeiro lugar, o worm obtém o nome do diretório do Eudora acessando a chave do Registro: SoftwareQualcommEudoraCommandLine. O worm então escaneia o banco de dados de e-mails de saída do Eudora (os arquivos OUT.MBX), obtém endereços de lá e os armazena na lista para a qual a mensagem infectada será enviada. Parece que o worm também adiciona o endereço de email "support@microsoft.com" a essa lista.

O worm então prepara o arquivo C: USER.MSG que será usado para inicializar o sistema Eudora sendmail. O worm grava todos os dados necessários para enviar a mensagem com anexo infectado:


Para: lista de endereços do arquivo OUT.MBX, além de "support@microsoft.com"
Assunto: aqui está o que você pediu
Anexos X: c: pkzip.exe;
Corpo da mensagem:
Você havia solicitado isso há algum tempo, então aqui está você.
apreciar.

O worm, em seguida, abre o arquivo C: USER.MSG por uma função do Windows que ativa o Eudora sendmail.

Roubando arquivos de senha

Ao instalar no sistema e infectar arquivos, o worm também procura por arquivos de senha do Windows (arquivos .PWL), lê os dados das senhas de lá e os anexa ao corpo do arquivo infectado.

O worm não envia as senhas para nenhum endereço da Internet, mas apenas as mantém anexadas aos arquivos infectados. Como resultado, as senhas roubadas deixam o computador apenas no caso de o worm distribuir suas cópias para os canais de Internet ou IRC.

Rotinas de carga útil

O worm possui muitas rotinas de carga útil que são ativadas dependendo da data e hora do sistema. O verme dessas rotinas:

– Interrompe o computador, lançando um número ilimitado de threads.

– Substitui a chave de registro .DEFAULTSoftwareMicrosoftRegEdt32Settings pelo valor "AutoRefresh = 0".

– Altera as configurações do Internet Explorer. Ao reescrever as chaves de registro SOFTWAREMicrosoftInternet ExplorerMain, os worms definem a "Página inicial" como "http://www.whitehouse.com/" e "Página de pesquisa" como "http://www.bigboobies.com" e desabilitam o cache da Internet atualização.

Ao reescrever as chaves de registro SOFTWAREMicrosoftInternet ExplorerSearchUrl e SOFTWAREMicrosoftInternet ExplorerTypedURLs, o worm define a página da Web "http://www.gayextreme.com/queer/handle-it.html" para a primeira posição de páginas da Web usadas recentemente; define "SearchURL" para "http://www.fetishrealm.com/fatgirls/pic3.htm";

– Reescrevendo os conjuntos de chaves do Registro SoftwareMirabilisICQBookmarks:


"Página principal" para "http://www.biggfantac.com/terra/index.html",
"Suporte ao Cliente" para "http://www.pornoparty.net"
"Menu" para "http://www.gayextreme.com/queer/handle-it.html"

– Exclui todas as chaves de


SOFTWAREMicrosoftWindowsCurrentVersionUninstall ou
SOFTWAREMicrosoftWindowsCurrentVersionConfigurações da InternetZones

– Define as configurações do Windows:


RegisteredOwner = "Idiota com um vírus"
RegisteredOrganization e ProductID = "Vírus do Rage do Registro L1999"

– Cria arquivos C: POEM1.TXT ou C: POEM2.TXT, grava um dos textos (veja abaixo) e os abre com o NOTEPAD.EXE. Os textos são os seguintes:


Para ganhar para o corpo e a mente tudo o que adere e avança
e não é deixado pela morte;
Eu vou aliviar o egoísmo e mostrá-lo subjacente a todos, e eu serei o
bardo da personalidade,
E eu vou mostrar de macho e fêmea que ou é apenas igual a
o outro,
E eu mostrarei que não há imperfeição no presente, e
pode ser nenhum no futuro,
E eu vou mostrar que o que quer que aconteça com alguém pode ser transformado em
resultados bonitos,
E vou mostrar que nada pode acontecer mais bonito que a morte …
– Walt Whitman
Nada divino morre. Tudo de bom é eternamente reprodutivo. A beleza de
a natureza se reforma na mente, e não para a contemplação estéril,
mas para nova criação.
Todos os homens estão impressionados com a face do mundo; alguns homens
até para encantar. Esse amor pela beleza é o sabor. Outros têm o mesmo amor
em tal excesso, que, não contentes em admirar, procuram incorporar
em novas formas. A criação da beleza é arte.
– Ralph Waldo Emerson

As rotinas de carga útil do worm também apagam ou modificam as diversas configurações do Windows, minimizam as configurações do Backup e do ScanDisk, apagam o backup do Registro, etc.


Link para o original