Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um vírus que se espalha pela Internet conectado a e-mails infectados. O próprio worm é um arquivo EXE do Windows PE com aproximadamente 77Kb de comprimento (criptografado pelo utilitário de proteção de arquivos ASProtect EXE) e escrito em Borland C ++.

As mensagens infectadas têm uma das três variantes seguintes do arquivo Assunto / Corpo / Anexado:

Assunto : Mail to% RecipientEmail%
Body : Eu te envio este patch.
Corrige um erro no Internet Explorer e no Outlook.
Anexo : patch.exe

ou

ou

O worm só é ativado a partir do e-mail infectado quando um usuário clica em um arquivo anexado. O worm então se instala no sistema, executa sua rotina de distribuição e sua carga útil.

Instalando

Durante a instalação, o worm se copia para o diretório de sistema do Windows duas vezes com o nome "article.doc.exe" e com um nome ".exe" aleatório (como WVUUQ.EXE) e, em seguida, registra o último arquivo em:

em Win9x: arquivo WIN.INI, seção [windows], comando "run ="
sob WinNT: registro do sistema Executar = chave.

O worm também cria uma chave de registro adicional:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGames Worm
DisplayName = Wargames Uninstall
UninstallString = mouse rundll32, desabilitar

O worm também procura vários programas e tenta finalizar seus processos. Nesta lista existem programas antivírus, bem como alguns vírus wildspread:

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE
KERN32.EXE
SETUP.EXE
RUNDLLW32.EXE
GONER.SCR
LOAD.EXE
INETD.EXE
FILES32.VXD
SCAM32.EXE
GDI32.EXE
_SETUP.EXE
EXPLORE.EXE
ZIPPED_FILES.EXE

Espalhando

Para enviar mensagens infectadas, o worm usa três maneiras diferentes (e envia mensagens de três tipos diferentes – veja acima).

Primeiro, o worm verifica os arquivos * .HT *, * .DOC e * .XLS no diretório Windows nos diretórios Pessoal, Área de Trabalho, Favoritos e Cache da Internet de um usuário, procura endereços de e-mail e envia mensagens infectadas para eles. endereços.

Em seguida, o vírus cria o arquivo "wargames.vbs" no diretório do Windows, grava um script VBS e o executa. Os scripts envia mensagens infectadas para todos os endereços do Catálogo de Endereços do MS Outlook.

No final, o worm, usando as funções do Windows MAPI, se conecta à caixa de entrada e "responde" todas as mensagens de lá.

Link para o original

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é um vírus que se espalha pela Internet conectado a e-mails infectados. O próprio worm é um arquivo EXE do Windows PE com aproximadamente 77Kb de comprimento (criptografado pelo utilitário de proteção de arquivos ASProtect EXE) e escrito em Borland C ++. As mensagens infectadas têm uma das três variantes seguintes do arquivo Assunto / Corpo / Anexado: Assunto : Mail to% RecipientEmail% Body : Eu te envio este patch. Corrige um erro no Internet Explorer e no Outlook. Anexo : patch.exe ou ou O worm só é ativado a partir do e-mail infectado quando um usuário clica em um arquivo anexado. O worm então se instala no sistema, executa sua rotina de distribuição e sua carga útil. Instalando Durante a instalação, o worm se copia para o diretório de sistema do Windows duas vezes com o nome "article.doc.exe" e com um nome ".exe" aleatório (como WVUUQ.EXE) e, em seguida, registra o último arquivo em: em Win9x: arquivo WIN.INI, seção [windows], comando "run =" sob WinNT: registro do sistema Executar = chave. O worm também cria uma chave de registro adicional: HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGames Worm DisplayName = Wargames Uninstall UninstallString = mouse rundll32, desabilitar O worm também procura vários programas e tenta finalizar seus processos. Nesta lista existem programas antivírus, bem como alguns vírus wildspread: AVP32.EXE AVPCC.EXE AVPM.EXE WFINDV32.EXE F-AGNT95.EXE NAVAPW32.EXE NAVW32.EXE NMAIN.EXE PAVSCHED.EXE ZONEALARM.EXE KERN32.EXE SETUP.EXE RUNDLLW32.EXE GONER.SCR LOAD.EXE INETD.EXE FILES32.VXD SCAM32.EXE GDI32.EXE _SETUP.EXE EXPLORE.EXE ZIPPED_FILES.EXE Espalhando Para enviar mensagens infectadas, o worm usa três maneiras diferentes (e envia mensagens de três tipos diferentes – veja acima). Primeiro, o worm verifica os arquivos * .HT , .DOC e * .XLS no diretório Windows nos diretórios Pessoal, Área de Trabalho, Favoritos e Cache da Internet de um usuário, procura endereços de e-mail e envia mensagens infectadas para eles. endereços. Em seguida, o vírus cria o arquivo "wargames.vbs" no diretório do Windows, grava um script VBS e o executa. Os scripts envia mensagens infectadas para todos os endereços do Catálogo de Endereços do MS Outlook. No final, o worm, usando as funções do Windows MAPI, se conecta à caixa de entrada e "responde" todas as mensagens de lá.
	Link para o original

Email-Worm.Win32.Wargam

Detalhes técnicos