ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Vybab

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Esse worm se espalha pela Internet como um anexo às mensagens infectadas. Também pode infectar arquivos EXE.

É um arquivo EXE PE escrito em Borland Delphi e tem aproximadamente 140 KB de tamanho.

Instalação

Ao se instalar no sistema, o worm cria um arquivo chamado 123.txt no diretório do Windows. Este arquivo contém a seguinte seqüência de texto:

 babyv; feito de Ran 

Ele também cria arquivos no diretório raiz e no diretório do Windows. Os nomes desses arquivos são criados a partir de três caracteres aleatórios e uma das seguintes extensões:

 bastão
exe
htm
rar
doc
xls 

Esses arquivos não contêm o corpo do worm.

O worm se copia para um arquivo temporário chamado seeyou.rar no diretório raiz C :.

Ele também cria um arquivo chamado echo.vbs no diretório temporário do Windows. Este arquivo contém o script que permite que o worm se propague por email.

Propagação via email

Cada vez que o worm ou um dos arquivos infectados é iniciado, o worm se envia para todos os endereços no catálogo de endereços do MS Outlook. E-mails infectados têm as seguintes características:

Cabeçalho da mensagem:

 Microsoft Pack3,; o) 

Mensagem de texto:

 Oi:
Este é o centro do servidor cliente da Microsoft
Verifique isso! 

Infecção de arquivos EXE

Quando o worm é iniciado pela primeira vez, ele infecta arquivos EXE localizados no diretório Program Files e no diretório do qual o worm foi lançado. Ele se escreve para o começo desses arquivos.

Depois disso, o worm pesquisa todos os diretórios em todas as unidades acessíveis e infecta todos os arquivos EXE encontrados.

Quando um arquivo infectado é iniciado, o vírus se copia no diretório raiz de cada unidade disponível e envia a si mesmo por email. O arquivo não infectado original é salvo no diretório temporário do Windows e restabelecerá o controle assim que o worm concluir o processo de infecção.


Link para o original