Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um worm IRC que se espalha através dos canais de IRC. O worm em si é um aplicativo Win32 com cerca de 70Kb de tamanho. Tem duas rotinas principais: infecção e jogo, ambas ativadas durante a execução do programa infectado. O primeiro infecta um computador para que ele espalhe as cópias do worm ainda mais para os chats do IRC; o segundo exibe um jogo "Tetris" que é usado para mascarar a atividade do worm: essa rotina emula o jogo "Tetris" real e completo.

Para se espalhar, o worm procura um cliente mIRC em quatro diretórios:

C: Mirc
C: Program Filesmirc
D: mirc D: Program Filesmirc

Se um for encontrado, o worm cria arquivos adicionais:

C: Windowsscript.bak – programa de script mIRC
C: backup.vbs – programa VBS que mais tarde concluirá a instalação
C: Windowssystem.exe – cópia do arquivo EXE do worm

O "C: backup.vbs" é então registrado na chave de registro de execução automática como:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SysFile = C: Backup.vbs

Como resultado, ele é executado toda vez que o sistema é iniciado e, em seguida, copia arquivos:

C: Windowsscript.bak para o diretório mIRC com o nome "script.ini"
C: Windowssystem.exe para C: tetris.exe

O arquivo "script.ini" é um programa mIRC curto que envia o arquivo C: tetris.exe para todos que entram no canal infectado.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é um worm IRC que se espalha através dos canais de IRC. O worm em si é um aplicativo Win32 com cerca de 70Kb de tamanho. Tem duas rotinas principais: infecção e jogo, ambas ativadas durante a execução do programa infectado. O primeiro infecta um computador para que ele espalhe as cópias do worm ainda mais para os chats do IRC; o segundo exibe um jogo "Tetris" que é usado para mascarar a atividade do worm: essa rotina emula o jogo "Tetris" real e completo. Para se espalhar, o worm procura um cliente mIRC em quatro diretórios: C: Mirc C: Program Filesmirc D: mirc D: Program Filesmirc Se um for encontrado, o worm cria arquivos adicionais: C: Windowsscript.bak – programa de script mIRC C: backup.vbs – programa VBS que mais tarde concluirá a instalação C: Windowssystem.exe – cópia do arquivo EXE do worm O "C: backup.vbs" é então registrado na chave de registro de execução automática como: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SysFile = C: Backup.vbs Como resultado, ele é executado toda vez que o sistema é iniciado e, em seguida, copia arquivos: C: Windowsscript.bak para o diretório mIRC com o nome "script.ini" C: Windowssystem.exe para C: tetris.exe O arquivo "script.ini" é um programa mIRC curto que envia o arquivo C: tetris.exe para todos que entram no canal infectado.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Email-Worm.Win32.Tetris

Detalhes técnicos