ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO. Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Soluções para:
Produtos domésticos
Pequenas empresas
Empresas médias
Grandes empresas
Vulnerabilidades Ameaças
Início Ameaças Email-Worm Win32

Email-Worm.Win32.SysClock

Classe
Email-Worm
Plataforma
Win32

Classe principal: VirWare

Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.

Classe: Email-Worm

Email-Worms espalhado via email. O worm envia uma cópia de si mesmo como um anexo a uma mensagem de e-mail ou um link para seu arquivo em um recurso de rede (por exemplo, um URL para um arquivo infectado em um site comprometido ou um site de propriedade de hackers). No primeiro caso, o código do worm é ativado quando o anexo infectado é aberto (ativado). No segundo caso, o código é ativado quando o link para o arquivo infectado é aberto. Em ambos os casos, o resultado é o mesmo: o código do worm é ativado. Os worms de email usam uma variedade de métodos para enviar emails infectados. Os mais comuns são: usar uma conexão direta com um servidor SMTP usando o diretório de e-mail embutido no código do worm usando os serviços do MS Outlook usando as funções do Windows MAPI. Os worms de e-mail usam várias fontes diferentes para encontrar endereços de e-mail para os quais os e-mails infectados serão enviados: o catálogo de endereços do MS Outlook, um banco de dados de endereços WAB .txt armazenado no disco rígido: o worm pode identificar quais strings são e-mails de endereços de e-mail na caixa de entrada (alguns worms de e-mail até mesmo “respondem” a e-mails encontrados na caixa de entrada) Muitos worms de e-mail usam mais de uma das fontes listadas acima. Há também outras fontes de endereços de e-mail, como catálogos de endereços associados a serviços de e-mail baseados na web.

Plataforma: Win32

O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.

Descrição

Detalhes técnicos

Este é um worm da Internet (vírus do tipo worm) que se espalha por e-mails, canais de IRC, infecta arquivos em computadores locais e se espalha para uma rede local. Ele também rouba senhas do sistema (arquivos PWL) de computadores infectados, assim como possui muitas rotinas de carga útil perigosas e perigosas. O worm em si tem cerca de 80Kb de tamanho no programa Win32 (PE EXE - Portable Executable) escrito em Delphi, o código worm "puro" ocupa cerca de 20Kb eo restante é o código da biblioteca de tempo de execução Delphi, dados e diversas informações do programa.

O worm chega como um e-mail com uma mensagem falsa (veja abaixo) e anexa o arquivo PKZIP.EXE que é o próprio programa do worm. Quando o worm é executado, ele se instala no sistema, infecta arquivos em uma unidade local, infecta unidades lógicas disponíveis, infecta o cliente mIRC instalado e envia e-mails infectados usando o sistema de e-mail do Eudora.

Instalando no sistema

Para se instalar no sistema, o worm se copia com o nome KERNEL.EXE para o diretório Windows (em máquinas Win95 / 98) ou para o diretório de sistema Windows (no WinNT), e se registra na chave de execução automática do registro do sistema. : 

SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe

O worm também possui uma rotina de instalação adicional que instala as cópias do worm em todas as unidades disponíveis. Essa rotina é descrita abaixo.

Infectando um computador

O worm é capaz de infectar cerca de 40 arquivos em um computador e não infecta mais de quatro arquivos em cada execução. O worm infecta arquivos no diretório do Windows: 

NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE,SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE,USRMGR.EXE

O worm então infecta os programas associados às chaves do Registro: 

SOFTWAREClassesAccess.Application.8 shellopencommandSOFTWAREClassesAudioCD shellplaycommandSOFTWAREClassesAVComunho shellplaySOFTWAREClassescolacomputador shellplayfileSOFTWAREClassesChat shellopencommandSOFTWAREClientesNotíciasForte Agente shellopencommandSOFTWAREClassesExcel.Sheet.8 shellopencommandSOFTWAREClassesdespescimento shellopencommandSOFTWAREClassesgopile shellopencommandSOFTWAREClasseshppile shellopencommandSOFTWAREClassesEudora DefaultIconSOFTWAREClassesEudora shellopencommandSOFTWAREClassesMicrosoft Internet Mail Message shellopencommandSOFTWAREClassesMicrosoft Internet News Message shellopencommandSOFTWAREClassesMOVFile shellopencommandSOFTWAREClassesMsi.Package shellopencommandSOFTWAREClassespcANYWHERE32 shellopencommandSOFTWAREClassesQuickView shellopencommandSOFTWAREClassesRealPlayer.RAM.6 shellopencommandSOFTWAREClassesWinamp.File shellopencommandSOFTWAREClassesUnfinished Download do shellopencommandSOFTWAREClassesUltraEdit-32 Document shellopencommandSOFTWAREClassesWhiteboard shellopencommandSOFTWAREClassesvcard_wab_auto_file shellopencommandSOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exeSOFTWAREKasperskyLabComponents102EXEName

Ao infectar cada arquivo, o worm usa o método de infecção associada: ele renomeia um arquivo de vítima com oito bytes de nome aleatório e extensão .EXE (por exemplo: GTGUQPPA.EXE, XOHSKVXQ.EXE, etc.) e se coloca com o nome de arquivo original. Como resultado, a cópia do worm será executada sempre que um usuário ou sistema executar o arquivo infectado.

Para retornar o controle de volta ao arquivo host, o worm armazena os nomes dos arquivos na chave do Registro HKCUAppEventsSchemesApps.DefaultSystemStartWindows, por exemplo: 

C: WIN95calc.exe "gtguqppa.exe"C: WIN95mplayer.exe "xohskvxq.exe"etc

Esta informação pode ser usada para desinfetar o computador.

Para detectar arquivos já infectados, o worm usa a FileVersion que está armazenada nos recursos do arquivo EXE do PE. Nos arquivos infectados, essa variável é definida como "1.3.5.7".

Infectando unidades locais e de rede

O worm também se copia e "registra" as unidades lógicas disponíveis: removível, fixo e rede. Ao infectar arquivos removíveis, o worm procura o arquivo AUTOEXEC.BAT, adiciona uma instrução para executar o arquivo PKZIP.EXE após o carregamento da unidade e copia a si mesmo para a unidade com o nome do arquivo PKZIP.EXE.

Ao infectar os discos rígidos, o worm procura o arquivo PKZIP.EXE nos diretórios raiz dessas unidades e copia a si mesmo com esse nome, se esse arquivo não estiver lá. Para executar este arquivo, o worm cria o arquivo AUTORUN.INF na unidade e grava um bloco de instruções para executar o arquivo PKZIP.EXE (cópia do worm) na próxima versão do Windows: 

[autorun]open = pkzip.exe

Ao infectar uma unidade remota, o worm verifica primeiro a unidade para obter permissão por escrito. Para fazer isso, o worm cria o arquivo TEMP9385.058 e o exclui. Caso nenhum erro tenha ocorrido durante a operação, o worm continua se espalhando para o inversor. Ele se copia para lá com o nome PKZIP.EXE e cria o arquivo AUTORUN.INF da mesma forma que afeta as unidades fixas no computador local. Além disso, o worm procura os diretórios Windows e WinNT na unidade e registra sua cópia PKZIP.EXE no arquivo WIN.INI na instrução [windows] "run". Essa operação também causa a execução de cópia de worm na próxima inicialização do Windows.

Ao infectar unidades de rede, o worm também destrói vários arquivos executáveis, se existirem, e os substitui pela cópia: 

Acrobat3ReaderAcrord32.exeEudora95Eudora.exeArquivos de programasMicrosoft OfficeOfficeOutlook.exeArquivos de programasInternet ExplorerIexplore.exeArquivos de programasWinZipWinZip32.exeArquivos de programasMicrosoft OfficeOfficeWinWord.exeArquivos de programasNetscapeProgramNetscape.exe

Infectando o cliente mIRC e se espalhando pelos canais de IRC

Essa rotina é executada dependendo da hora do sistema, não toda vez que os arquivos infectados são executados. Procura o cliente mIRC instalado no sistema acessando o arquivo de script mIRC nos diretórios: 

C: MIRCSCRIPT.INIC: MIRC32SCRIPT.INIC: Program FilesMIRCSCRIPT.INIC: Program FilesMIRC32SCRIPT.INI

Se não existirem tais arquivos, o worm deixa a rotina de infecção. Caso contrário, ele sobrescreve o arquivo SCRIPT.INI com instruções que enviam o arquivo C: PKZIP.EXE para todos que entram no canal afetado.

Enviando e-mails infectados

Essa rotina é executada dependendo da hora do sistema, assim como da rotina de infecção do mIRC. Em primeiro lugar, o worm obtém o nome do diretório do Eudora acessando a chave do Registro: SoftwareQualcommEudoraCommandLine. O worm então escaneia o banco de dados de e-mails de saída do Eudora (os arquivos OUT.MBX), obtém endereços de lá e os armazena na lista para a qual a mensagem infectada será enviada. Parece que o worm também adiciona o endereço de email "support@microsoft.com" a essa lista.

O worm então prepara o arquivo C: USER.MSG que será usado para inicializar o sistema Eudora sendmail. O worm grava todos os dados necessários para enviar a mensagem com anexo infectado: 

Para: lista de endereços do arquivo OUT.MBX, além de "support@microsoft.com"Assunto: aqui está o que você pediuAnexos X: c: pkzip.exe;Corpo da mensagem:Você havia solicitado isso há algum tempo, então aqui está você.apreciar.

O worm, em seguida, abre o arquivo C: USER.MSG por uma função do Windows que ativa o Eudora sendmail.

Roubando arquivos de senha

Ao instalar no sistema e infectar arquivos, o worm também procura por arquivos de senha do Windows (arquivos .PWL), lê os dados das senhas de lá e os anexa ao corpo do arquivo infectado.

O worm não envia as senhas para nenhum endereço da Internet, mas apenas as mantém anexadas aos arquivos infectados. Como resultado, as senhas roubadas deixam o computador apenas no caso de o worm distribuir suas cópias para os canais de Internet ou IRC.

Rotinas de carga útil

O worm possui muitas rotinas de carga útil que são ativadas dependendo da data e hora do sistema. O verme dessas rotinas:

- Interrompe o computador, lançando um número ilimitado de threads.

- Substitui a chave de registro .DEFAULTSoftwareMicrosoftRegEdt32Settings pelo valor "AutoRefresh = 0".

- Altera as configurações do Internet Explorer. Ao reescrever as chaves de registro SOFTWAREMicrosoftInternet ExplorerMain, os worms definem a "Página inicial" como "http://www.whitehouse.com/" e "Página de pesquisa" como "http://www.bigboobies.com" e desabilitam o cache da Internet atualização.

Ao reescrever as chaves de registro SOFTWAREMicrosoftInternet ExplorerSearchUrl e SOFTWAREMicrosoftInternet ExplorerTypedURLs, o worm define a página da Web "http://www.gayextreme.com/queer/handle-it.html" para a primeira posição de páginas da Web usadas recentemente; define "SearchURL" para "http://www.fetishrealm.com/fatgirls/pic3.htm";

- Reescrevendo os conjuntos de chaves do Registro SoftwareMirabilisICQBookmarks: 

"Página principal" para "http://www.biggfantac.com/terra/index.html","Suporte ao Cliente" para "http://www.pornoparty.net""Menu" para "http://www.gayextreme.com/queer/handle-it.html"

- Exclui todas as chaves de 

SOFTWAREMicrosoftWindowsCurrentVersionUninstall ouSOFTWAREMicrosoftWindowsCurrentVersionConfigurações da InternetZones

- Define as configurações do Windows: 

RegisteredOwner = "Idiota com um vírus"RegisteredOrganization e ProductID = "Vírus do Rage do Registro L1999"

- Cria arquivos C: POEM1.TXT ou C: POEM2.TXT, grava um dos textos (veja abaixo) e os abre com o NOTEPAD.EXE. Os textos são os seguintes: 

Para ganhar para o corpo e a mente tudo o que adere e avançae não é deixado pela morte;Eu vou aliviar o egoísmo e mostrá-lo subjacente a todos, e eu serei obardo da personalidade,E eu vou mostrar de macho e fêmea que ou é apenas igual ao outro,E eu mostrarei que não há imperfeição no presente, epode ser nenhum no futuro,E eu vou mostrar que o que quer que aconteça com alguém pode ser transformado emresultados bonitos,E vou mostrar que nada pode acontecer mais bonito que a morte ...- Walt WhitmanNada divino morre. Tudo de bom é eternamente reprodutivo. A beleza dea natureza se reforma na mente, e não para a contemplação estéril,mas para nova criação.Todos os homens estão impressionados com a face do mundo; alguns homensaté para encantar. Esse amor pela beleza é o sabor. Outros têm o mesmo amorem tal excesso, que, não contentes em admirar, procuram incorporarem novas formas. A criação da beleza é arte.- Ralph Waldo Emerson

As rotinas de carga útil do worm também apagam ou modificam as diversas configurações do Windows, minimizam as configurações do Backup e do ScanDisk, apagam o backup do Registro, etc.

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com

Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!
Kaspersky Next:
cibersegurança redefinida
Saber mais
Novo Kaspersky!
Sua vida dgital merece proteção completa!
Saber mais
Related articles
15 May 2025
Securelist
Threat landscape for industrial automation systems in Q1 2025
13 May 2025
Securelist
Using a Mythic agent to optimize penetration testing
07 May 2025
Securelist
State of ransomware in 2025
29 April 2025
Securelist
Outlaw cybergang attacking targets worldwide
25 April 2025
Securelist
Triada strikes back
24 April 2025
Securelist
Operation SyncHole: Lazarus APT goes back to the well
Encontrou uma imprecisão na descrição desta vulnerabilidade?
Se você encontrou uma nova Ameaça ou Vulnerabilidade, por favor, nos avise por e-mail:
newvirus@kaspersky.com
Encontrou uma nova Ameaça ou Vulnerabilidade?
Se você encontrou uma nova Ameaça ou Vulnerabilidade, por favor, nos avise por e-mail:
newvirus@kaspersky.com
Soluções para
Produtos domésticos
Pequenas empresas
Empresas médias
Grandes empresas
Select language
Sorting
Ameaça
Confirm changes?
Your message has been sent successfully.