ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Sysid

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um worm da Internet que se espalha em e-mails infectados usando o MS Outlook. O próprio worm é um executável do Windows escrito em Delphi e compactado pelo utilitário de compactação EXE do Aspack PE. O tamanho do arquivo do worm (comprimido) é de cerca de 200K, o tamanho original (descompactado) é de cerca de 400K.

O worm se instala no sistema e acessa periodicamente o MS Outlook e envia mensagens infectadas. Não há rotinas de carga útil encontradas no código do worm.

O worm esconde sua atividade fingindo ser um utilitário "Personal ID Generator". Este utilitário usa strings na codificação chinesa, por isso não pode ser verdadeiramente visível em Windows não-chinês.

Ao mesmo tempo em que o worm exibe a janela "Personal ID Generator", ele se instala no Windows. Para fazer isso, ele obtém os nomes dos diretórios do sistema Windows e Windows e se copia para lá com o nome "SYSID.EXE". Caso o worm não consiga detectar o diretório do Windows, ele usa nomes codificados:

C: WINNTSYSTEM32SYSID.EXE
C: WINNTSYSID.EXE
C: WINDOWSSYSTEMSYSID.EXE
C: WINDOWSSYSID.EXE

Para rodar toda vez que o Windows iniciar, o worm registra sua cópia no registro do sistema na seção de execução automática:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WindowsVersion = "sysid"

O worm usa um truque para esconder esse registro. Ao ser ativado, o worm exclui esse registro do registro e, ao sair, o restaura. Para permanecer ativo o maior tempo possível, o worm deixa sua cópia na memória do Windows como um aplicativo oculto (serviço). Assim, o worm está ativo até o momento em que o Windows é desligado, e o registro do worm no registro do sistema não é visível. No momento em que o Windows é desligado, o worm restaura o registro do registro.

Como resultado, o registro do worm não pode ser lido pelo RegEdit padrão – ele simplesmente não existe quando o Windows concluiu seu procedimento de inicialização e até o momento em que o Windows é reinicializado:

  • Em cada reinicialização, o Windows obtém um nome de arquivo worm do registro do sistema e o executa; o worm então exclui esse registro e permanece na memória do sistema aguardando a reinicialização do Windows. Naquele momento, o registro do worm não existe.
  • Quando o Windows é desligado, o worm restaura seu registro de registro e está pronto para executar o worm novamente na próxima reinicialização do Windows. Nesse momento, o registro do registro existe, mas não pode ser lido por utilitários padrão.

Para se espalhar através de mensagens de e-mail, o worm executa um arquivo auxiliar. Este arquivo é um aplicativo VisualBasicScript e é criado pelo worm no diretório de sistema do Windows com o nome WINVER.VBS. O programa VBS neste arquivo obtém acesso ao MS Outlook, obtém nomes selecionados aleatoriamente do catálogo de endereços e cria e envia mensagens para esses endereços. O número de endereços infectados depende do número total de endereços nos AddressLists. Caso haja menos de 200 endereços, o worm envia mensagens para 10% deles; caso contrário, (mais de 200 mensagens) o worm envia e-mails infectados para 2% deles.

O corpo da mensagem infectada está vazio. A mensagem Assunto é selecionada aleatoriamente de todas as variantes de assunto encontradas na lista do Outlook "Itens enviados".

A mensagem tem quatro arquivos anexados. A primeira é a cópia do worm EXE com um nome selecionado aleatoriamente a partir de 100 variantes (veja abaixo); segundo, o arquivo anexado é selecionado aleatoriamente a partir dos arquivos .JPEG, .JPG, .DOC e .XLS encontrados na pasta "C: Meus documentos". Dois outros arquivos anexados são mensagens de email selecionadas aleatoriamente na lista "Itens enviados".

A lista de possíveis nomes EXE do worm aparece da seguinte maneira:

pdd2000.exe
Tools.exe
Pcc99.exe
98fix.exe
Book.exe
Phone.exe
Car.exe
Game.exe
Office98fix.exe
Graphics.exe
ScreenSaver.exe
Joke.exe
Window.exe
Mp3Player.exe
WinAmp.exe
Mouse.exe
FTP_Pro.exe
WWW.exe
Ghost7.exe
MazeGame.exe
3DS.exe
Source.exe
Action.exe
Color.exe
Color_Joke.exe
GameStyle.exe
HAHA.exe
MyResume.exe
EasyGame.exe
Jonny.exe
BallGame.exe
MazeGame.exe
MAC9.exe
Desk_Demo.exe
Girl.exe
GirlGame.exe
GoodGame.exe
FreedMan.exe
Hurry Up.exe
Tome um Rest.exe
Tome Easy.exe
Não over time.exe
Meeting.exe
Milk.exe
PlayBoy.exe
BadGirl.exe
BadBoy.exe
PenHouse.exe
Tape.exe
Display.exe
Clique em Me.exe
Apple.exe
Novo Produto Show.exe
Meu Resume.exe
Boss Game.exe
Boy and Girl.exe
WinZip9.exe
Good Job.exe
New Language.exe
Key User.exe
Minha letra.exe
Meu Sister.exe
Minha mãe.exe
Meu pai.exe
Minha foto.exe
Merry.exe
Happy.exe
Feliz ano novo.exe
Como você está.exe
586 Tech.exe
Cell Phone.exe
Sex Picture.exe
The Young King.exe
Oscar.exe
The Happy Prince.exe
The Star Child.exe
Question.exe
Problemas para o Today.exe
Acknowledgments.exe
Game99.exe
True ou False.exe
Good Art.exe
News.exe
Stock News.exe
Music.exe
MP3.exe
Escolha Games.exe
Life-Styles.exe
Life-Cycles.exe
Sometimes.exe
Summary.exe
Market.exe
MP3 Tools.exe
Cheat.exe
New Joke.exe
New System.exe
New Job.exe
New Chance.exe
Make More Money.exe
Ajuda Yourself.exe


Link para o original