Email-Worm.Win32.Unicle

Detalhes técnicos

Características gerais

Esse worm é capaz de funcionar apenas em versões chinesas do Windows e se espalha, enviando mensagens de e-mail infectadas. O worm tem dois componentes: um programa de script e um arquivo EXE do Windows PE. O primeiro componente (script) é enviado em e-mails infectados, infecta o computador, faz o download e executa um componente EXE que completa a infecção e espalha as cópias do worm.

Instalação

O worm chega como uma mensagem HTML com um programa JavaScript dentro. Esse script é processado automaticamente ao abrir uma mensagem e o código do worm é controlado.

Nota:
Os navegadores de Internet e os clientes de email têm proteções de segurança integradas que impedem que programas de script embutidos em mensagens acessem arquivos de disco e recursos do sistema (o worm precisa se espalhar – veja abaixo). Para infectar o sistema a partir de uma mensagem de email, o worm precisa evitar essas proteções. Para isso, ele explora uma violação de segurança do Internet Explorer 5 – a chamada "vulnerabilidade Scriptlet.Typelib" (veja abaixo).

O worm, em seguida, procura o diretório de inicialização – ele procura por diretórios do Windows na seguinte ordem:

C: WINDOWSStart MenuPrograms-T-�
C: WINDOWStart MenuPrograms-T-�
C: WINStart MenuPrograms-T-�
C: WIN98Start MenuPrograms-T-�
C: WIN95Start MenuProgramas-T-�
C: WINDOWS.000Start MenuPrograms-T-�
C: WINDOWS.001Start MenuPrograms-T-�
D: WINDOWSStart MenuPrograms-T-�
D: WINDOWStart MenuPrograms-T-�
D: WINStart MenuPrograms-T-�
D: WIN98Start MenuPrograms-T-�
D: WIN95Start MenuProgramas-T-�
D: WINDOWS.000Start MenuPrograms-T-�
D: WINDOWS.001Start MenuPrograms-T-�

No caso de não existirem tais diretórios na máquina, o worm não pode infectar o sistema e não pode se espalhar ainda mais. Os últimos caracteres em cada linha são strings chinesas e não podem ser usados ​​em nenhuma outra versão local do Windows, e é por isso que o worm é capaz de afetar apenas o Windows chinês.

Se algum diretório apropriado foi encontrado, o worm cria o arquivo "Microsoft Internet Explorer.hta". Este arquivo contém o aplicativo HTML que contém mais um programa de script do worm. Como o arquivo é criado no diretório de inicialização do Windows, ele será executado na próxima inicialização do Windows.

O script "Microsoft Internet Explorer.hta", criado uma vez, cria o arquivo MSIE.INI no diretório do sistema Windows e armazena o endereço do servidor SMTP local (o worm obtém esse endereço do servidor SMTP do registro do sistema).

Nota:
o servidor SMTP é uma máquina que recebe mensagens eletrônicas do computador. Nos casos em que há um PC autônomo ou servidor de e-mail, é o endereço do provedor ou algum outro endereço usado como servidor de e-mail do host para enviar [e receber] e-mails.

Depois disso, o worm cria a pasta "system" no diretório de sistema do Windows (por exemplo, "C: WINDOWSSYSTEMsystem") e tenta baixar o arquivo MSIE.EXE da Internet. Para fazer isso, o worm se conecta a um dos dez sites FTP usando o script do utilitário padrão FTP.EXE. Se o download falhar, o worm entrará em loop e tentará repeti-lo a cada três minutos.

Quando o arquivo MSIE.EXE é baixado, o worm o executa (MSIE.EXE é arquivo de autoextração) e obtém mais dois arquivos:

EXPLORER.EXE
MSWINSCK.OCX

O EXPLORER.EXE é o segundo componente do worm (arquivo EXE do Windows) e o MSWINSCK.OCX é uma biblioteca para acessar os sockets do Windows.

O worm então inicia o arquivo EXPLORER.EXE que obtém os endereços de e-mail e envia mensagens infectadas com o programa de script do worm usando o protocolo SMTP. Para obter os endereços de e-mail das vítimas, o worm verifica a árvore de subdiretórios em todas as unidades, pesquisando por arquivos * .NCH, * .SNM, * .DBX (arquivos de banco de dados de correio) e os procura por endereços de e-mail.

O EXPLORER.EXE do worm também realiza ações adicionais. Primeiro de tudo, apaga "rastreios" de seu componente de script e exclui arquivos que foram criados por ele: MSIE.HTA, MSIE.LST, MSBOOT.BAT, MSIE.EXE. Em seguida, ele se registra no arquivo WIN.INI no comando "run =" para ser executado automaticamente em cada inicialização do Windows.

O worm também notificará seu autor (ou possível host) sobre sua presença na máquina infectada. Para isso, envia uma mensagem para um dos endereços:

leebill_001@yahoo.com
leebill_002@yahoo.com
…
leebill_023@yahoo.com

Existem 23 endereços possíveis e o worm seleciona aleatoriamente um deles.

Carga útil

O worm tem uma carga útil "backdoor" que "escuta" um host remoto e executa seus comandos: mostrar um diretório, abrir / fechar / criar / executar / excluir arquivo, etc.

As versões demo do Kaspersky AntiVirus Toolkit Pro (AVP) capazes de combater o worm "Unicle" estão disponíveis no site da Kaspersky em http://www.kasperskylab.ru/eng/products/eval.asp.

Você pode adquirir a versão totalmente funcional do AntiViral Toolkit Pro on-line pela Internet no seguinte endereço: http://www.kasperskylab.ru/eng/buy/default.asp

Como se proteger contra o verme "Unicle"?

A Microsoft lançou uma atualização que elimina a vulnerabilidade de segurança "Scriptlet.Typelib". Recomendamos vivamente que visite http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP e instale esta actualização.

Se você não usar nenhum aplicativo HTML (arquivos HTA), há outra maneira de evitar a infecção por vírus desse tipo (os worms e vírus que usam a vulnerabilidade de segurança "Scriptlet.Typelib"). Você precisa remover a associação de arquivo para extensão .HTA. Para fazer isso, você deve seguir estas etapas:

1. Clique duas vezes no ícone "Meu Computador" na área de trabalho.
2. Na janela exibida, escolha o menu "View" -> "Options …".
3. Na guia "Tipos de arquivo", na caixa de listagem "Tipos de arquivo registrados", selecione o item "Aplicação de HTML".
4. Clique no botão "Remover" e confirme a ação.
5. Feche a caixa de diálogo de opções.