..
Click anywhere to stop
Click anywhere to stop
ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.
Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe | Email-Worm |
Plataforma | Win32 |
Descrição |
Detalhes técnicosEste é um worm da Internet que se espalha em e-mails infectados usando o MS Outlook. O próprio worm é um executável do Windows escrito em Delphi e compactado pelo utilitário de compactação EXE do Aspack PE. O tamanho do arquivo do worm (comprimido) é de cerca de 200K, o tamanho original (descompactado) é de cerca de 400K. O worm se instala no sistema e acessa periodicamente o MS Outlook e envia mensagens infectadas. Não há rotinas de carga útil encontradas no código do worm. O worm esconde sua atividade fingindo ser um utilitário "Personal ID Generator". Este utilitário usa strings na codificação chinesa, por isso não pode ser verdadeiramente visível em Windows não-chinês. Ao mesmo tempo em que o worm exibe a janela "Personal ID Generator", ele se instala no Windows. Para fazer isso, ele obtém os nomes dos diretórios do sistema Windows e Windows e se copia para lá com o nome "SYSID.EXE". Caso o worm não consiga detectar o diretório do Windows, ele usa nomes codificados:
Para rodar toda vez que o Windows iniciar, o worm registra sua cópia no registro do sistema na seção de execução automática:
O worm usa um truque para esconder esse registro. Ao ser ativado, o worm exclui esse registro do registro e, ao sair, o restaura. Para permanecer ativo o maior tempo possível, o worm deixa sua cópia na memória do Windows como um aplicativo oculto (serviço). Assim, o worm está ativo até o momento em que o Windows é desligado, e o registro do worm no registro do sistema não é visível. No momento em que o Windows é desligado, o worm restaura o registro do registro. Como resultado, o registro do worm não pode ser lido pelo RegEdit padrão – ele simplesmente não existe quando o Windows concluiu seu procedimento de inicialização e até o momento em que o Windows é reinicializado:
Para se espalhar através de mensagens de e-mail, o worm executa um arquivo auxiliar. Este arquivo é um aplicativo VisualBasicScript e é criado pelo worm no diretório de sistema do Windows com o nome WINVER.VBS. O programa VBS neste arquivo obtém acesso ao MS Outlook, obtém nomes selecionados aleatoriamente do catálogo de endereços e cria e envia mensagens para esses endereços. O número de endereços infectados depende do número total de endereços nos AddressLists. Caso haja menos de 200 endereços, o worm envia mensagens para 10% deles; caso contrário, (mais de 200 mensagens) o worm envia e-mails infectados para 2% deles. O corpo da mensagem infectada está vazio. A mensagem Assunto é selecionada aleatoriamente de todas as variantes de assunto encontradas na lista do Outlook "Itens enviados". A mensagem tem quatro arquivos anexados. A primeira é a cópia do worm EXE com um nome selecionado aleatoriamente a partir de 100 variantes (veja abaixo); segundo, o arquivo anexado é selecionado aleatoriamente a partir dos arquivos .JPEG, .JPG, .DOC e .XLS encontrados na pasta "C: Meus documentos". Dois outros arquivos anexados são mensagens de email selecionadas aleatoriamente na lista "Itens enviados". A lista de possíveis nomes EXE do worm aparece da seguinte maneira:
|
Link para o original |
|
Descubra as estatísticas das ameaças que se espalham em sua região |