ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO. Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe
Email-Worm
Plataforma
Win32

Classe principal: VirWare

Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.

Classe: Email-Worm

Email-Worms espalhado via email. O worm envia uma cópia de si mesmo como um anexo a uma mensagem de e-mail ou um link para seu arquivo em um recurso de rede (por exemplo, um URL para um arquivo infectado em um site comprometido ou um site de propriedade de hackers). No primeiro caso, o código do worm é ativado quando o anexo infectado é aberto (ativado). No segundo caso, o código é ativado quando o link para o arquivo infectado é aberto. Em ambos os casos, o resultado é o mesmo: o código do worm é ativado. Os worms de email usam uma variedade de métodos para enviar emails infectados. Os mais comuns são: usar uma conexão direta com um servidor SMTP usando o diretório de e-mail embutido no código do worm usando os serviços do MS Outlook usando as funções do Windows MAPI. Os worms de e-mail usam várias fontes diferentes para encontrar endereços de e-mail para os quais os e-mails infectados serão enviados: o catálogo de endereços do MS Outlook, um banco de dados de endereços WAB .txt armazenado no disco rígido: o worm pode identificar quais strings são e-mails de endereços de e-mail na caixa de entrada (alguns worms de e-mail até mesmo “respondem” a e-mails encontrados na caixa de entrada) Muitos worms de e-mail usam mais de uma das fontes listadas acima. Há também outras fontes de endereços de e-mail, como catálogos de endereços associados a serviços de e-mail baseados na web.

Plataforma: Win32

O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.

Descrição

Detalhes técnicos

Este é um worm da Internet que se espalha em e-mails infectados usando o MS Outlook. O próprio worm é um executável do Windows escrito em Delphi e compactado pelo utilitário de compactação EXE do Aspack PE. O tamanho do arquivo do worm (comprimido) é de cerca de 200K, o tamanho original (descompactado) é de cerca de 400K.

O worm se instala no sistema e acessa periodicamente o MS Outlook e envia mensagens infectadas. Não há rotinas de carga útil encontradas no código do worm.

O worm esconde sua atividade fingindo ser um utilitário "Personal ID Generator". Este utilitário usa strings na codificação chinesa, por isso não pode ser verdadeiramente visível em Windows não-chinês.

Ao mesmo tempo em que o worm exibe a janela "Personal ID Generator", ele se instala no Windows. Para fazer isso, ele obtém os nomes dos diretórios do sistema Windows e Windows e se copia para lá com o nome "SYSID.EXE". Caso o worm não consiga detectar o diretório do Windows, ele usa nomes codificados:

C: WINNTSYSTEM32SYSID.EXE
C: WINNTSYSID.EXE
C: WINDOWSSYSTEMSYSID.EXE
C: WINDOWSSYSID.EXE

Para rodar toda vez que o Windows iniciar, o worm registra sua cópia no registro do sistema na seção de execução automática:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WindowsVersion = "sysid"

O worm usa um truque para esconder esse registro. Ao ser ativado, o worm exclui esse registro do registro e, ao sair, o restaura. Para permanecer ativo o maior tempo possível, o worm deixa sua cópia na memória do Windows como um aplicativo oculto (serviço). Assim, o worm está ativo até o momento em que o Windows é desligado, e o registro do worm no registro do sistema não é visível. No momento em que o Windows é desligado, o worm restaura o registro do registro.

Como resultado, o registro do worm não pode ser lido pelo RegEdit padrão - ele simplesmente não existe quando o Windows concluiu seu procedimento de inicialização e até o momento em que o Windows é reinicializado:

  • Em cada reinicialização, o Windows obtém um nome de arquivo worm do registro do sistema e o executa; o worm então exclui esse registro e permanece na memória do sistema aguardando a reinicialização do Windows. Naquele momento, o registro do worm não existe.
  • Quando o Windows é desligado, o worm restaura seu registro de registro e está pronto para executar o worm novamente na próxima reinicialização do Windows. Nesse momento, o registro do registro existe, mas não pode ser lido por utilitários padrão.

Para se espalhar através de mensagens de e-mail, o worm executa um arquivo auxiliar. Este arquivo é um aplicativo VisualBasicScript e é criado pelo worm no diretório de sistema do Windows com o nome WINVER.VBS. O programa VBS neste arquivo obtém acesso ao MS Outlook, obtém nomes selecionados aleatoriamente do catálogo de endereços e cria e envia mensagens para esses endereços. O número de endereços infectados depende do número total de endereços nos AddressLists. Caso haja menos de 200 endereços, o worm envia mensagens para 10% deles; caso contrário, (mais de 200 mensagens) o worm envia e-mails infectados para 2% deles.

O corpo da mensagem infectada está vazio. A mensagem Assunto é selecionada aleatoriamente de todas as variantes de assunto encontradas na lista do Outlook "Itens enviados".

A mensagem tem quatro arquivos anexados. A primeira é a cópia do worm EXE com um nome selecionado aleatoriamente a partir de 100 variantes (veja abaixo); segundo, o arquivo anexado é selecionado aleatoriamente a partir dos arquivos .JPEG, .JPG, .DOC e .XLS encontrados na pasta "C: Meus documentos". Dois outros arquivos anexados são mensagens de email selecionadas aleatoriamente na lista "Itens enviados".

A lista de possíveis nomes EXE do worm aparece da seguinte maneira:

pdd2000.exe
Tools.exe
Pcc99.exe
98fix.exe
Book.exe
Phone.exe
Car.exe
Game.exe
Office98fix.exe
Graphics.exe
ScreenSaver.exe
Joke.exe
Window.exe
Mp3Player.exe
WinAmp.exe
Mouse.exe
FTP_Pro.exe
WWW.exe
Ghost7.exe
MazeGame.exe
3DS.exe
Source.exe
Action.exe
Color.exe
Color_Joke.exe
GameStyle.exe
HAHA.exe
MyResume.exe
EasyGame.exe
Jonny.exe
BallGame.exe
MazeGame.exe
MAC9.exe
Desk_Demo.exe
Girl.exe
GirlGame.exe
GoodGame.exe
FreedMan.exe
Hurry Up.exe
Tome um Rest.exe
Tome Easy.exe
Não over time.exe
Meeting.exe
Milk.exe
PlayBoy.exe
BadGirl.exe
BadBoy.exe
PenHouse.exe
Tape.exe
Display.exe
Clique em Me.exe
Apple.exe
Novo Produto Show.exe
Meu Resume.exe
Boss Game.exe
Boy and Girl.exe
WinZip9.exe
Good Job.exe
New Language.exe
Key User.exe
Minha letra.exe
Meu Sister.exe
Minha mãe.exe
Meu pai.exe
Minha foto.exe
Merry.exe
Happy.exe
Feliz ano novo.exe
Como você está.exe
586 Tech.exe
Cell Phone.exe
Sex Picture.exe
The Young King.exe
Oscar.exe
The Happy Prince.exe
The Star Child.exe
Question.exe
Problemas para o Today.exe
Acknowledgments.exe
Game99.exe
True ou False.exe
Good Art.exe
News.exe
Stock News.exe
Music.exe
MP3.exe
Escolha Games.exe
Life-Styles.exe
Life-Cycles.exe
Sometimes.exe
Summary.exe
Market.exe
MP3 Tools.exe
Cheat.exe
New Joke.exe
New System.exe
New Job.exe
New Chance.exe
Make More Money.exe
Ajuda Yourself.exe

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com

Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!
Kaspersky Next:
cibersegurança redefinida
Saber mais
Novo Kaspersky!
Sua vida dgital merece proteção completa!
Saber mais
Confirm changes?
Your message has been sent successfully.