ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.
Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe | Email-Worm |
Plataforma | Win32 |
Descrição |
Detalhes técnicosEste é um worm da Internet (vírus do tipo worm) que se espalha por e-mails, canais de IRC, infecta arquivos em computadores locais e se espalha para uma rede local. Ele também rouba senhas do sistema (arquivos PWL) de computadores infectados, assim como possui muitas rotinas de carga útil perigosas e perigosas. O worm em si tem cerca de 80Kb de tamanho no programa Win32 (PE EXE – Portable Executable) escrito em Delphi, o código worm "puro" ocupa cerca de 20Kb eo restante é o código da biblioteca de tempo de execução Delphi, dados e diversas informações do programa. O worm chega como um e-mail com uma mensagem falsa (veja abaixo) e anexa o arquivo PKZIP.EXE que é o próprio programa do worm. Quando o worm é executado, ele se instala no sistema, infecta arquivos em uma unidade local, infecta unidades lógicas disponíveis, infecta o cliente mIRC instalado e envia e-mails infectados usando o sistema de e-mail do Eudora. Instalando no sistemaPara se instalar no sistema, o worm se copia com o nome KERNEL.EXE para o diretório Windows (em máquinas Win95 / 98) ou para o diretório de sistema Windows (no WinNT), e se registra na chave de execução automática do registro do sistema. :
O worm também possui uma rotina de instalação adicional que instala as cópias do worm em todas as unidades disponíveis. Essa rotina é descrita abaixo. Infectando um computadorO worm é capaz de infectar cerca de 40 arquivos em um computador e não infecta mais de quatro arquivos em cada execução. O worm infecta arquivos no diretório do Windows:
O worm então infecta os programas associados às chaves do Registro:
Ao infectar cada arquivo, o worm usa o método de infecção associada: ele renomeia um arquivo de vítima com oito bytes de nome aleatório e extensão .EXE (por exemplo: GTGUQPPA.EXE, XOHSKVXQ.EXE, etc.) e se coloca com o nome de arquivo original. Como resultado, a cópia do worm será executada sempre que um usuário ou sistema executar o arquivo infectado. Para retornar o controle de volta ao arquivo host, o worm armazena os nomes dos arquivos na chave do Registro HKCUAppEventsSchemesApps.DefaultSystemStartWindows, por exemplo:
Esta informação pode ser usada para desinfetar o computador. Para detectar arquivos já infectados, o worm usa a FileVersion que está armazenada nos recursos do arquivo EXE do PE. Nos arquivos infectados, essa variável é definida como "1.3.5.7". Infectando unidades locais e de redeO worm também se copia e "registra" as unidades lógicas disponíveis: removível, fixo e rede. Ao infectar arquivos removíveis, o worm procura o arquivo AUTOEXEC.BAT, adiciona uma instrução para executar o arquivo PKZIP.EXE após o carregamento da unidade e copia a si mesmo para a unidade com o nome do arquivo PKZIP.EXE. Ao infectar os discos rígidos, o worm procura o arquivo PKZIP.EXE nos diretórios raiz dessas unidades e copia a si mesmo com esse nome, se esse arquivo não estiver lá. Para executar este arquivo, o worm cria o arquivo AUTORUN.INF na unidade e grava um bloco de instruções para executar o arquivo PKZIP.EXE (cópia do worm) na próxima versão do Windows:
Ao infectar uma unidade remota, o worm verifica primeiro a unidade para obter permissão por escrito. Para fazer isso, o worm cria o arquivo TEMP9385.058 e o exclui. Caso nenhum erro tenha ocorrido durante a operação, o worm continua se espalhando para o inversor. Ele se copia para lá com o nome PKZIP.EXE e cria o arquivo AUTORUN.INF da mesma forma que afeta as unidades fixas no computador local. Além disso, o worm procura os diretórios Windows e WinNT na unidade e registra sua cópia PKZIP.EXE no arquivo WIN.INI na instrução [windows] "run". Essa operação também causa a execução de cópia de worm na próxima inicialização do Windows. Ao infectar unidades de rede, o worm também destrói vários arquivos executáveis, se existirem, e os substitui pela cópia:
Infectando o cliente mIRC e se espalhando pelos canais de IRCEssa rotina é executada dependendo da hora do sistema, não toda vez que os arquivos infectados são executados. Procura o cliente mIRC instalado no sistema acessando o arquivo de script mIRC nos diretórios:
Se não existirem tais arquivos, o worm deixa a rotina de infecção. Caso contrário, ele sobrescreve o arquivo SCRIPT.INI com instruções que enviam o arquivo C: PKZIP.EXE para todos que entram no canal afetado. Enviando e-mails infectadosEssa rotina é executada dependendo da hora do sistema, assim como da rotina de infecção do mIRC. Em primeiro lugar, o worm obtém o nome do diretório do Eudora acessando a chave do Registro: SoftwareQualcommEudoraCommandLine. O worm então escaneia o banco de dados de e-mails de saída do Eudora (os arquivos OUT.MBX), obtém endereços de lá e os armazena na lista para a qual a mensagem infectada será enviada. Parece que o worm também adiciona o endereço de email "support@microsoft.com" a essa lista. O worm então prepara o arquivo C: USER.MSG que será usado para inicializar o sistema Eudora sendmail. O worm grava todos os dados necessários para enviar a mensagem com anexo infectado:
O worm, em seguida, abre o arquivo C: USER.MSG por uma função do Windows que ativa o Eudora sendmail. Roubando arquivos de senhaAo instalar no sistema e infectar arquivos, o worm também procura por arquivos de senha do Windows (arquivos .PWL), lê os dados das senhas de lá e os anexa ao corpo do arquivo infectado. O worm não envia as senhas para nenhum endereço da Internet, mas apenas as mantém anexadas aos arquivos infectados. Como resultado, as senhas roubadas deixam o computador apenas no caso de o worm distribuir suas cópias para os canais de Internet ou IRC. Rotinas de carga útilO worm possui muitas rotinas de carga útil que são ativadas dependendo da data e hora do sistema. O verme dessas rotinas: – Interrompe o computador, lançando um número ilimitado de threads. – Substitui a chave de registro .DEFAULTSoftwareMicrosoftRegEdt32Settings pelo valor "AutoRefresh = 0". – Altera as configurações do Internet Explorer. Ao reescrever as chaves de registro SOFTWAREMicrosoftInternet ExplorerMain, os worms definem a "Página inicial" como "http://www.whitehouse.com/" e "Página de pesquisa" como "http://www.bigboobies.com" e desabilitam o cache da Internet atualização. Ao reescrever as chaves de registro SOFTWAREMicrosoftInternet ExplorerSearchUrl e SOFTWAREMicrosoftInternet ExplorerTypedURLs, o worm define a página da Web "http://www.gayextreme.com/queer/handle-it.html" para a primeira posição de páginas da Web usadas recentemente; define "SearchURL" para "http://www.fetishrealm.com/fatgirls/pic3.htm"; – Reescrevendo os conjuntos de chaves do Registro SoftwareMirabilisICQBookmarks:
– Exclui todas as chaves de
– Define as configurações do Windows:
– Cria arquivos C: POEM1.TXT ou C: POEM2.TXT, grava um dos textos (veja abaixo) e os abre com o NOTEPAD.EXE. Os textos são os seguintes:
As rotinas de carga útil do worm também apagam ou modificam as diversas configurações do Windows, minimizam as configurações do Backup e do ScanDisk, apagam o backup do Registro, etc. |
Link para o original |
|
Descubra as estatísticas das ameaças que se espalham em sua região |