Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um worm da Internet (vírus do tipo worm) que se espalha por e-mails, canais de IRC, infecta arquivos em computadores locais e se espalha para uma rede local. Ele também rouba senhas do sistema (arquivos PWL) de computadores infectados, assim como possui muitas rotinas de carga útil perigosas e perigosas. O worm em si tem cerca de 80Kb de tamanho no programa Win32 (PE EXE – Portable Executable) escrito em Delphi, o código worm "puro" ocupa cerca de 20Kb eo restante é o código da biblioteca de tempo de execução Delphi, dados e diversas informações do programa.

O worm chega como um e-mail com uma mensagem falsa (veja abaixo) e anexa o arquivo PKZIP.EXE que é o próprio programa do worm. Quando o worm é executado, ele se instala no sistema, infecta arquivos em uma unidade local, infecta unidades lógicas disponíveis, infecta o cliente mIRC instalado e envia e-mails infectados usando o sistema de e-mail do Eudora.

Instalando no sistema

Para se instalar no sistema, o worm se copia com o nome KERNEL.EXE para o diretório Windows (em máquinas Win95 / 98) ou para o diretório de sistema Windows (no WinNT), e se registra na chave de execução automática do registro do sistema. :



SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe

O worm também possui uma rotina de instalação adicional que instala as cópias do worm em todas as unidades disponíveis. Essa rotina é descrita abaixo.

Infectando um computador

O worm é capaz de infectar cerca de 40 arquivos em um computador e não infecta mais de quatro arquivos em cada execução. O worm infecta arquivos no diretório do Windows:



NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE,

SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE,

USRMGR.EXE

O worm então infecta os programas associados às chaves do Registro:



SOFTWAREClassesAccess.Application.8 shellopencommand

SOFTWAREClassesAudioCD shellplaycommand

SOFTWAREClassesAVComunho shellplay

SOFTWAREClassescolacomputador shellplayfile

SOFTWAREClassesChat shellopencommand

SOFTWAREClientesNotíciasForte Agente shellopencommand

SOFTWAREClassesExcel.Sheet.8 shellopencommand

SOFTWAREClassesdespescimento shellopencommand

SOFTWAREClassesgopile shellopencommand

SOFTWAREClasseshppile shellopencommand

SOFTWAREClassesEudora DefaultIcon

SOFTWAREClassesEudora shellopencommand

SOFTWAREClassesMicrosoft Internet Mail Message shellopencommand

SOFTWAREClassesMicrosoft Internet News Message shellopencommand

SOFTWAREClassesMOVFile shellopencommand

SOFTWAREClassesMsi.Package shellopencommand

SOFTWAREClassespcANYWHERE32 shellopencommand

SOFTWAREClassesQuickView shellopencommand

SOFTWAREClassesRealPlayer.RAM.6 shellopencommand

SOFTWAREClassesWinamp.File shellopencommand

SOFTWAREClassesUnfinished Download do shellopencommand

SOFTWAREClassesUltraEdit-32 Document shellopencommand

SOFTWAREClassesWhiteboard shellopencommand

SOFTWAREClassesvcard_wab_auto_file shellopencommand

SOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exe

SOFTWAREKasperskyLabComponents102EXEName

Ao infectar cada arquivo, o worm usa o método de infecção associada: ele renomeia um arquivo de vítima com oito bytes de nome aleatório e extensão .EXE (por exemplo: GTGUQPPA.EXE, XOHSKVXQ.EXE, etc.) e se coloca com o nome de arquivo original. Como resultado, a cópia do worm será executada sempre que um usuário ou sistema executar o arquivo infectado.

Para retornar o controle de volta ao arquivo host, o worm armazena os nomes dos arquivos na chave do Registro HKCUAppEventsSchemesApps.DefaultSystemStartWindows, por exemplo:



C: WIN95calc.exe "gtguqppa.exe"

C: WIN95mplayer.exe "xohskvxq.exe"

etc

Esta informação pode ser usada para desinfetar o computador.

Para detectar arquivos já infectados, o worm usa a FileVersion que está armazenada nos recursos do arquivo EXE do PE. Nos arquivos infectados, essa variável é definida como "1.3.5.7".

Infectando unidades locais e de rede

O worm também se copia e "registra" as unidades lógicas disponíveis: removível, fixo e rede. Ao infectar arquivos removíveis, o worm procura o arquivo AUTOEXEC.BAT, adiciona uma instrução para executar o arquivo PKZIP.EXE após o carregamento da unidade e copia a si mesmo para a unidade com o nome do arquivo PKZIP.EXE.

Ao infectar os discos rígidos, o worm procura o arquivo PKZIP.EXE nos diretórios raiz dessas unidades e copia a si mesmo com esse nome, se esse arquivo não estiver lá. Para executar este arquivo, o worm cria o arquivo AUTORUN.INF na unidade e grava um bloco de instruções para executar o arquivo PKZIP.EXE (cópia do worm) na próxima versão do Windows:



[autorun]

open = pkzip.exe

Ao infectar uma unidade remota, o worm verifica primeiro a unidade para obter permissão por escrito. Para fazer isso, o worm cria o arquivo TEMP9385.058 e o exclui. Caso nenhum erro tenha ocorrido durante a operação, o worm continua se espalhando para o inversor. Ele se copia para lá com o nome PKZIP.EXE e cria o arquivo AUTORUN.INF da mesma forma que afeta as unidades fixas no computador local. Além disso, o worm procura os diretórios Windows e WinNT na unidade e registra sua cópia PKZIP.EXE no arquivo WIN.INI na instrução [windows] "run". Essa operação também causa a execução de cópia de worm na próxima inicialização do Windows.

Ao infectar unidades de rede, o worm também destrói vários arquivos executáveis, se existirem, e os substitui pela cópia:



Acrobat3ReaderAcrord32.exe

Eudora95Eudora.exe

Arquivos de programasMicrosoft OfficeOfficeOutlook.exe

Arquivos de programasInternet ExplorerIexplore.exe

Arquivos de programasWinZipWinZip32.exe

Arquivos de programasMicrosoft OfficeOfficeWinWord.exe

Arquivos de programasNetscapeProgramNetscape.exe

Infectando o cliente mIRC e se espalhando pelos canais de IRC

Essa rotina é executada dependendo da hora do sistema, não toda vez que os arquivos infectados são executados. Procura o cliente mIRC instalado no sistema acessando o arquivo de script mIRC nos diretórios:



C: MIRCSCRIPT.INI

C: MIRC32SCRIPT.INI

C: Program FilesMIRCSCRIPT.INI

C: Program FilesMIRC32SCRIPT.INI

Se não existirem tais arquivos, o worm deixa a rotina de infecção. Caso contrário, ele sobrescreve o arquivo SCRIPT.INI com instruções que enviam o arquivo C: PKZIP.EXE para todos que entram no canal afetado.

Enviando e-mails infectados

Essa rotina é executada dependendo da hora do sistema, assim como da rotina de infecção do mIRC. Em primeiro lugar, o worm obtém o nome do diretório do Eudora acessando a chave do Registro: SoftwareQualcommEudoraCommandLine. O worm então escaneia o banco de dados de e-mails de saída do Eudora (os arquivos OUT.MBX), obtém endereços de lá e os armazena na lista para a qual a mensagem infectada será enviada. Parece que o worm também adiciona o endereço de email "support@microsoft.com" a essa lista.

O worm então prepara o arquivo C: USER.MSG que será usado para inicializar o sistema Eudora sendmail. O worm grava todos os dados necessários para enviar a mensagem com anexo infectado:



Para: lista de endereços do arquivo OUT.MBX, além de "support@microsoft.com"

Assunto: aqui está o que você pediu

Anexos X: c: pkzip.exe;

Corpo da mensagem:

Você havia solicitado isso há algum tempo, então aqui está você.

apreciar.

O worm, em seguida, abre o arquivo C: USER.MSG por uma função do Windows que ativa o Eudora sendmail.

Roubando arquivos de senha

Ao instalar no sistema e infectar arquivos, o worm também procura por arquivos de senha do Windows (arquivos .PWL), lê os dados das senhas de lá e os anexa ao corpo do arquivo infectado.

O worm não envia as senhas para nenhum endereço da Internet, mas apenas as mantém anexadas aos arquivos infectados. Como resultado, as senhas roubadas deixam o computador apenas no caso de o worm distribuir suas cópias para os canais de Internet ou IRC.

Rotinas de carga útil

O worm possui muitas rotinas de carga útil que são ativadas dependendo da data e hora do sistema. O verme dessas rotinas:

– Interrompe o computador, lançando um número ilimitado de threads.

– Substitui a chave de registro .DEFAULTSoftwareMicrosoftRegEdt32Settings pelo valor "AutoRefresh = 0".

– Altera as configurações do Internet Explorer. Ao reescrever as chaves de registro SOFTWAREMicrosoftInternet ExplorerMain, os worms definem a "Página inicial" como "http://www.whitehouse.com/" e "Página de pesquisa" como "http://www.bigboobies.com" e desabilitam o cache da Internet atualização.

Ao reescrever as chaves de registro SOFTWAREMicrosoftInternet ExplorerSearchUrl e SOFTWAREMicrosoftInternet ExplorerTypedURLs, o worm define a página da Web "http://www.gayextreme.com/queer/handle-it.html" para a primeira posição de páginas da Web usadas recentemente; define "SearchURL" para "http://www.fetishrealm.com/fatgirls/pic3.htm";

– Reescrevendo os conjuntos de chaves do Registro SoftwareMirabilisICQBookmarks:



"Página principal" para "http://www.biggfantac.com/terra/index.html",

"Suporte ao Cliente" para "http://www.pornoparty.net"

"Menu" para "http://www.gayextreme.com/queer/handle-it.html"

– Exclui todas as chaves de



SOFTWAREMicrosoftWindowsCurrentVersionUninstall ou

SOFTWAREMicrosoftWindowsCurrentVersionConfigurações da InternetZones

– Define as configurações do Windows:



RegisteredOwner = "Idiota com um vírus"

RegisteredOrganization e ProductID = "Vírus do Rage do Registro L1999"

– Cria arquivos C: POEM1.TXT ou C: POEM2.TXT, grava um dos textos (veja abaixo) e os abre com o NOTEPAD.EXE. Os textos são os seguintes:



Para ganhar para o corpo e a mente tudo o que adere e avança

e não é deixado pela morte;

Eu vou aliviar o egoísmo e mostrá-lo subjacente a todos, e eu serei o

bardo da personalidade,

E eu vou mostrar de macho e fêmea que ou é apenas igual a

o outro,

E eu mostrarei que não há imperfeição no presente, e

pode ser nenhum no futuro,

E eu vou mostrar que o que quer que aconteça com alguém pode ser transformado em

resultados bonitos,

E vou mostrar que nada pode acontecer mais bonito que a morte …

– Walt Whitman

Nada divino morre. Tudo de bom é eternamente reprodutivo. A beleza de

a natureza se reforma na mente, e não para a contemplação estéril,

mas para nova criação.

Todos os homens estão impressionados com a face do mundo; alguns homens

até para encantar. Esse amor pela beleza é o sabor. Outros têm o mesmo amor

em tal excesso, que, não contentes em admirar, procuram incorporar

em novas formas. A criação da beleza é arte.

– Ralph Waldo Emerson

As rotinas de carga útil do worm também apagam ou modificam as diversas configurações do Windows, minimizam as configurações do Backup e do ScanDisk, apagam o backup do Registro, etc.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é um worm da Internet (vírus do tipo worm) que se espalha por e-mails, canais de IRC, infecta arquivos em computadores locais e se espalha para uma rede local. Ele também rouba senhas do sistema (arquivos PWL) de computadores infectados, assim como possui muitas rotinas de carga útil perigosas e perigosas. O worm em si tem cerca de 80Kb de tamanho no programa Win32 (PE EXE – Portable Executable) escrito em Delphi, o código worm "puro" ocupa cerca de 20Kb eo restante é o código da biblioteca de tempo de execução Delphi, dados e diversas informações do programa. O worm chega como um e-mail com uma mensagem falsa (veja abaixo) e anexa o arquivo PKZIP.EXE que é o próprio programa do worm. Quando o worm é executado, ele se instala no sistema, infecta arquivos em uma unidade local, infecta unidades lógicas disponíveis, infecta o cliente mIRC instalado e envia e-mails infectados usando o sistema de e-mail do Eudora. Instalando no sistema Para se instalar no sistema, o worm se copia com o nome KERNEL.EXE para o diretório Windows (em máquinas Win95 / 98) ou para o diretório de sistema Windows (no WinNT), e se registra na chave de execução automática do registro do sistema. : SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe O worm também possui uma rotina de instalação adicional que instala as cópias do worm em todas as unidades disponíveis. Essa rotina é descrita abaixo. Infectando um computador O worm é capaz de infectar cerca de 40 arquivos em um computador e não infecta mais de quatro arquivos em cada execução. O worm infecta arquivos no diretório do Windows: NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE, SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE, USRMGR.EXE O worm então infecta os programas associados às chaves do Registro: SOFTWAREClassesAccess.Application.8 shellopencommand SOFTWAREClassesAudioCD shellplaycommand SOFTWAREClassesAVComunho shellplay SOFTWAREClassescolacomputador shellplayfile SOFTWAREClassesChat shellopencommand SOFTWAREClientesNotíciasForte Agente shellopencommand SOFTWAREClassesExcel.Sheet.8 shellopencommand SOFTWAREClassesdespescimento shellopencommand SOFTWAREClassesgopile shellopencommand SOFTWAREClasseshppile shellopencommand SOFTWAREClassesEudora DefaultIcon SOFTWAREClassesEudora shellopencommand SOFTWAREClassesMicrosoft Internet Mail Message shellopencommand SOFTWAREClassesMicrosoft Internet News Message shellopencommand SOFTWAREClassesMOVFile shellopencommand SOFTWAREClassesMsi.Package shellopencommand SOFTWAREClassespcANYWHERE32 shellopencommand SOFTWAREClassesQuickView shellopencommand SOFTWAREClassesRealPlayer.RAM.6 shellopencommand SOFTWAREClassesWinamp.File shellopencommand SOFTWAREClassesUnfinished Download do shellopencommand SOFTWAREClassesUltraEdit-32 Document shellopencommand SOFTWAREClassesWhiteboard shellopencommand SOFTWAREClassesvcard_wab_auto_file shellopencommand SOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exe SOFTWAREKasperskyLabComponents102EXEName Ao infectar cada arquivo, o worm usa o método de infecção associada: ele renomeia um arquivo de vítima com oito bytes de nome aleatório e extensão .EXE (por exemplo: GTGUQPPA.EXE, XOHSKVXQ.EXE, etc.) e se coloca com o nome de arquivo original. Como resultado, a cópia do worm será executada sempre que um usuário ou sistema executar o arquivo infectado. Para retornar o controle de volta ao arquivo host, o worm armazena os nomes dos arquivos na chave do Registro HKCUAppEventsSchemesApps.DefaultSystemStartWindows, por exemplo: C: WIN95calc.exe "gtguqppa.exe" C: WIN95mplayer.exe "xohskvxq.exe" etc Esta informação pode ser usada para desinfetar o computador. Para detectar arquivos já infectados, o worm usa a FileVersion que está armazenada nos recursos do arquivo EXE do PE. Nos arquivos infectados, essa variável é definida como "1.3.5.7". Infectando unidades locais e de rede O worm também se copia e "registra" as unidades lógicas disponíveis: removível, fixo e rede. Ao infectar arquivos removíveis, o worm procura o arquivo AUTOEXEC.BAT, adiciona uma instrução para executar o arquivo PKZIP.EXE após o carregamento da unidade e copia a si mesmo para a unidade com o nome do arquivo PKZIP.EXE. Ao infectar os discos rígidos, o worm procura o arquivo PKZIP.EXE nos diretórios raiz dessas unidades e copia a si mesmo com esse nome, se esse arquivo não estiver lá. Para executar este arquivo, o worm cria o arquivo AUTORUN.INF na unidade e grava um bloco de instruções para executar o arquivo PKZIP.EXE (cópia do worm) na próxima versão do Windows: [autorun] open = pkzip.exe Ao infectar uma unidade remota, o worm verifica primeiro a unidade para obter permissão por escrito. Para fazer isso, o worm cria o arquivo TEMP9385.058 e o exclui. Caso nenhum erro tenha ocorrido durante a operação, o worm continua se espalhando para o inversor. Ele se copia para lá com o nome PKZIP.EXE e cria o arquivo AUTORUN.INF da mesma forma que afeta as unidades fixas no computador local. Além disso, o worm procura os diretórios Windows e WinNT na unidade e registra sua cópia PKZIP.EXE no arquivo WIN.INI na instrução [windows] "run". Essa operação também causa a execução de cópia de worm na próxima inicialização do Windows. Ao infectar unidades de rede, o worm também destrói vários arquivos executáveis, se existirem, e os substitui pela cópia: Acrobat3ReaderAcrord32.exe Eudora95Eudora.exe Arquivos de programasMicrosoft OfficeOfficeOutlook.exe Arquivos de programasInternet ExplorerIexplore.exe Arquivos de programasWinZipWinZip32.exe Arquivos de programasMicrosoft OfficeOfficeWinWord.exe Arquivos de programasNetscapeProgramNetscape.exe Infectando o cliente mIRC e se espalhando pelos canais de IRC Essa rotina é executada dependendo da hora do sistema, não toda vez que os arquivos infectados são executados. Procura o cliente mIRC instalado no sistema acessando o arquivo de script mIRC nos diretórios: C: MIRCSCRIPT.INI C: MIRC32SCRIPT.INI C: Program FilesMIRCSCRIPT.INI C: Program FilesMIRC32SCRIPT.INI Se não existirem tais arquivos, o worm deixa a rotina de infecção. Caso contrário, ele sobrescreve o arquivo SCRIPT.INI com instruções que enviam o arquivo C: PKZIP.EXE para todos que entram no canal afetado. Enviando e-mails infectados Essa rotina é executada dependendo da hora do sistema, assim como da rotina de infecção do mIRC. Em primeiro lugar, o worm obtém o nome do diretório do Eudora acessando a chave do Registro: SoftwareQualcommEudoraCommandLine. O worm então escaneia o banco de dados de e-mails de saída do Eudora (os arquivos OUT.MBX), obtém endereços de lá e os armazena na lista para a qual a mensagem infectada será enviada. Parece que o worm também adiciona o endereço de email "support@microsoft.com" a essa lista. O worm então prepara o arquivo C: USER.MSG que será usado para inicializar o sistema Eudora sendmail. O worm grava todos os dados necessários para enviar a mensagem com anexo infectado: Para: lista de endereços do arquivo OUT.MBX, além de "support@microsoft.com" Assunto: aqui está o que você pediu Anexos X: c: pkzip.exe; Corpo da mensagem: Você havia solicitado isso há algum tempo, então aqui está você. apreciar. O worm, em seguida, abre o arquivo C: USER.MSG por uma função do Windows que ativa o Eudora sendmail. Roubando arquivos de senha Ao instalar no sistema e infectar arquivos, o worm também procura por arquivos de senha do Windows (arquivos .PWL), lê os dados das senhas de lá e os anexa ao corpo do arquivo infectado. O worm não envia as senhas para nenhum endereço da Internet, mas apenas as mantém anexadas aos arquivos infectados. Como resultado, as senhas roubadas deixam o computador apenas no caso de o worm distribuir suas cópias para os canais de Internet ou IRC. Rotinas de carga útil O worm possui muitas rotinas de carga útil que são ativadas dependendo da data e hora do sistema. O verme dessas rotinas: – Interrompe o computador, lançando um número ilimitado de threads. – Substitui a chave de registro .DEFAULTSoftwareMicrosoftRegEdt32Settings pelo valor "AutoRefresh = 0". – Altera as configurações do Internet Explorer. Ao reescrever as chaves de registro SOFTWAREMicrosoftInternet ExplorerMain, os worms definem a "Página inicial" como "http://www.whitehouse.com/" e "Página de pesquisa" como "http://www.bigboobies.com" e desabilitam o cache da Internet atualização. Ao reescrever as chaves de registro SOFTWAREMicrosoftInternet ExplorerSearchUrl e SOFTWAREMicrosoftInternet ExplorerTypedURLs, o worm define a página da Web "http://www.gayextreme.com/queer/handle-it.html" para a primeira posição de páginas da Web usadas recentemente; define "SearchURL" para "http://www.fetishrealm.com/fatgirls/pic3.htm"; – Reescrevendo os conjuntos de chaves do Registro SoftwareMirabilisICQBookmarks: "Página principal" para "http://www.biggfantac.com/terra/index.html", "Suporte ao Cliente" para "http://www.pornoparty.net" "Menu" para "http://www.gayextreme.com/queer/handle-it.html" – Exclui todas as chaves de SOFTWAREMicrosoftWindowsCurrentVersionUninstall ou SOFTWAREMicrosoftWindowsCurrentVersionConfigurações da InternetZones – Define as configurações do Windows: RegisteredOwner = "Idiota com um vírus" RegisteredOrganization e ProductID = "Vírus do Rage do Registro L1999" – Cria arquivos C: POEM1.TXT ou C: POEM2.TXT, grava um dos textos (veja abaixo) e os abre com o NOTEPAD.EXE. Os textos são os seguintes: Para ganhar para o corpo e a mente tudo o que adere e avança e não é deixado pela morte; Eu vou aliviar o egoísmo e mostrá-lo subjacente a todos, e eu serei o bardo da personalidade, E eu vou mostrar de macho e fêmea que ou é apenas igual a o outro, E eu mostrarei que não há imperfeição no presente, e pode ser nenhum no futuro, E eu vou mostrar que o que quer que aconteça com alguém pode ser transformado em resultados bonitos, E vou mostrar que nada pode acontecer mais bonito que a morte … – Walt Whitman Nada divino morre. Tudo de bom é eternamente reprodutivo. A beleza de a natureza se reforma na mente, e não para a contemplação estéril, mas para nova criação. Todos os homens estão impressionados com a face do mundo; alguns homens até para encantar. Esse amor pela beleza é o sabor. Outros têm o mesmo amor em tal excesso, que, não contentes em admirar, procuram incorporar em novas formas. A criação da beleza é arte. – Ralph Waldo Emerson As rotinas de carga útil do worm também apagam ou modificam as diversas configurações do Windows, minimizam as configurações do Backup e do ScanDisk, apagam o backup do Registro, etc.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Email-Worm.Win32.SysClock