Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um vírus que se espalha pela Internet conectado a e-mails infectados. O worm em si é um arquivo EXE do Windows PE com aproximadamente 97Kb de comprimento (compactado por UPX, cerca de 132K quando descompactado), e está escrito em Visual Basic.

Espalhando

Para enviar mensagens infectadas, o worm usa o MS Outlook e envia mensagens para todos os endereços encontrados no catálogo de endereços do Outlook. As mensagens infectadas aparecem da seguinte maneira:

O assunto é selecionado aleatoriamente a partir das seguintes variantes:

Admirador secreto
Alguém te ama
Romance de Afar
Amor à primeira vista
… quando os dormentes acordam e ainda sonham …
Seja meu ?!
Seu sempre
Feliz Dia dos namorados
De mim para você
O teu eterno verão não se desvanecerá
Eu não posso expressar nenhum sinal mais amável de amor do que este beijo amável
A poesia é um eco, pedindo a uma sombra para dançar
Ó, beleza, até agora eu nunca te conheci!
Gesto romântico
Boa noite, doce principe e vôos de anjos cantam-te ao teu descanso

A mensagem Body , seguida de um "nome de usuário", é selecionada das seguintes variantes:

Feliz Dia dos namorados
Espero que você goste do cartão que eu anexei
mesmo que você não sinta o mesmo.

Sentimentos de fevereiro
É aquela época do ano de novo.
Mas ainda estou apenas seduzindo uma carta para você.
Feliz Dia dos namorados
Espero que você goste do cartão que eu anexei
mesmo que você não sinta o mesmo.

Oi
Eu me sinto como uma criança te mandando esse cartão
mas eu só tinha que fazer isso.
Feliz Dia dos namorados
Espero que você goste do cartão que eu anexei
mesmo que você não sinta o mesmo.

… e cada respiração que eu dei,
cada lágrima que eu já chorei,
Cada estrela que eu desejei,
Nada parecia até agora.
Feliz Dia dos namorados
Espero que você goste do cartão que eu anexei

Nesta vida não podemos fazer grandes coisas.
Nós só podemos fazer pequenas coisas com muito amor.
Feliz Dia dos namorados
Espero que você goste do cartão que eu anexei
mesmo que você não sinta o mesmo.

Anexo : ValentineCard.exe

Instalando

O worm só é ativado a partir do e-mail infectado quando um usuário clica em um arquivo anexado. O worm então se instala no sistema, executa uma rotina de distribuição e uma carga útil.

Durante a instalação, o worm se copia para o diretório de sistema do Windows com o nome "ValentineCard.exe" e registra esse arquivo na chave de execução automática do registro do sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun 14th =% SystemDir% ValentineCard.exe

onde% SystemDir% é o diretório do sistema Windows.

Carga útil

Ao ser instalado, o worm escreve uma chave de registro "não é uma primeira execução":

HKLMSoftwareMicrosoftWindowsCurrentVersion Valentine = true

e depois opera dependendo da presença desta tecla. Por causa de um bug, em qualquer execução (primeira execução, segunda execução, …), o worm faz a mesma coisa: cria "C: evil.jpg", grava dados de som e os abre. Como o arquivo tem uma extensão incorreta (imagem ".jpg", não som ".wav"), o sistema não consegue aceitá-lo. Caso este arquivo seja renomeado para ".wav", ele reproduzirá a frase "Alguém te ama".

O worm também deve (mas falha) criar o arquivo "C: 1.wav" e abrir sua janela. A janela do programa do worm deve ter um título em movimento:

Eu te amo !

no botão "About", deve aparecer a seguinte mensagem:

Flash Player
Flash Player 4.0
Copywrite (C) 1996-1999 Macromedia, Inc.
http://www.macromedia.com

Às quintas-feiras, o worm deve (mas falha) reiniciar o Windows.

Link para o original

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é um vírus que se espalha pela Internet conectado a e-mails infectados. O worm em si é um arquivo EXE do Windows PE com aproximadamente 97Kb de comprimento (compactado por UPX, cerca de 132K quando descompactado), e está escrito em Visual Basic. Espalhando Para enviar mensagens infectadas, o worm usa o MS Outlook e envia mensagens para todos os endereços encontrados no catálogo de endereços do Outlook. As mensagens infectadas aparecem da seguinte maneira: O assunto é selecionado aleatoriamente a partir das seguintes variantes: Admirador secreto Alguém te ama Romance de Afar Amor à primeira vista … quando os dormentes acordam e ainda sonham … Seja meu ?! Seu sempre Feliz Dia dos namorados De mim para você O teu eterno verão não se desvanecerá Eu não posso expressar nenhum sinal mais amável de amor do que este beijo amável A poesia é um eco, pedindo a uma sombra para dançar Ó, beleza, até agora eu nunca te conheci! Gesto romântico Boa noite, doce principe e vôos de anjos cantam-te ao teu descanso A mensagem Body , seguida de um "nome de usuário", é selecionada das seguintes variantes: Feliz Dia dos namorados Espero que você goste do cartão que eu anexei mesmo que você não sinta o mesmo. Sentimentos de fevereiro É aquela época do ano de novo. Mas ainda estou apenas seduzindo uma carta para você. Feliz Dia dos namorados Espero que você goste do cartão que eu anexei mesmo que você não sinta o mesmo. Oi Eu me sinto como uma criança te mandando esse cartão mas eu só tinha que fazer isso. Feliz Dia dos namorados Espero que você goste do cartão que eu anexei mesmo que você não sinta o mesmo. … e cada respiração que eu dei, cada lágrima que eu já chorei, Cada estrela que eu desejei, Nada parecia até agora. Feliz Dia dos namorados Espero que você goste do cartão que eu anexei Nesta vida não podemos fazer grandes coisas. Nós só podemos fazer pequenas coisas com muito amor. Feliz Dia dos namorados Espero que você goste do cartão que eu anexei mesmo que você não sinta o mesmo. Anexo : ValentineCard.exe Instalando O worm só é ativado a partir do e-mail infectado quando um usuário clica em um arquivo anexado. O worm então se instala no sistema, executa uma rotina de distribuição e uma carga útil. Durante a instalação, o worm se copia para o diretório de sistema do Windows com o nome "ValentineCard.exe" e registra esse arquivo na chave de execução automática do registro do sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRun 14th =% SystemDir% ValentineCard.exe onde% SystemDir% é o diretório do sistema Windows. Carga útil Ao ser instalado, o worm escreve uma chave de registro "não é uma primeira execução": HKLMSoftwareMicrosoftWindowsCurrentVersion Valentine = true e depois opera dependendo da presença desta tecla. Por causa de um bug, em qualquer execução (primeira execução, segunda execução, …), o worm faz a mesma coisa: cria "C: evil.jpg", grava dados de som e os abre. Como o arquivo tem uma extensão incorreta (imagem ".jpg", não som ".wav"), o sistema não consegue aceitá-lo. Caso este arquivo seja renomeado para ".wav", ele reproduzirá a frase "Alguém te ama". O worm também deve (mas falha) criar o arquivo "C: 1.wav" e abrir sua janela. A janela do programa do worm deve ter um título em movimento: Eu te amo ! no botão "About", deve aparecer a seguinte mensagem: Flash Player Flash Player 4.0 Copywrite (C) 1996-1999 Macromedia, Inc. http://www.macromedia.com Às quintas-feiras, o worm deve (mas falha) reiniciar o Windows.
	Link para o original

Email-Worm.Win32.Valcard

Detalhes técnicos