ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Vote

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Esse worm se espalha como um anexo para mensagens infectadas. Quando executado, o worm envia mensagens infectadas para todos os endereços armazenados no catálogo de endereços do MS Outlook e, em seguida, substitui todos os arquivos HTML nas unidades de disco locais. Quando o Windows é iniciado novamente, o worm tenta excluir todos os arquivos da pasta Windows e reinicializa a máquina vítima.

O worm chega como um anexo de arquivo executável. O anexo contém o próprio verme. Mensagens infectadas contêm o seguinte:

O worm só é ativado se o usuário iniciar manualmente clicando duas vezes no anexo.

Quando executado, o worm envia mensagens infectadas para todos os endereços armazenados no catálogo de endereços do Outlook. Em seguida, ele tenta abrir dois navegadores da Internet em sites que agora foram fechados. Além disso, ele substitui a página inicial do Internet Explorer por uma própria. Depois disso, o worm remove dois arquivos VBS diferentes.

O primeiro deles é chamado "MixDaLaL.vbs" que o worm cria e executa imediatamente na pasta do Windows. Este arquivo tem um programa de script que procura por arquivos com extensões HTM e HTML em todos os discos rígidos removíveis e locais e sobrescreve-os com um texto curto:

AmeRiCa … Poucos dias vão te mostrar o que podemos fazer !!! É a nossa vez >>> ZaCkEr é tão desculpe por você

O segundo arquivo VSB, o worm, cai na pasta do sistema Windows com o nome "ZaCker.vbs" e o registra na seção de registro de execução automática. Isso significa que o arquivo será executado automaticamente na próxima inicialização do Windows. Ao ser executado, ele tenta excluir todos os arquivos no diretório do Windows, sobrescreve o AUTOEXEC.BAT com um comando que destrói todos os dados na unidade C :, e exibe a seguinte mensagem:

O worm finalmente reinicia o computador. Como resultado, o sistema pode tornar-se não inicializável ou todos os dados podem ser destruídos.


Link para o original