ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Wargam

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um vírus que se espalha pela Internet conectado a e-mails infectados. O próprio worm é um arquivo EXE do Windows PE com aproximadamente 77Kb de comprimento (criptografado pelo utilitário de proteção de arquivos ASProtect EXE) e escrito em Borland C ++.

As mensagens infectadas têm uma das três variantes seguintes do arquivo Assunto / Corpo / Anexado:

Assunto : Mail to% RecipientEmail%
Body : Eu te envio este patch.
Corrige um erro no Internet Explorer e no Outlook.
Anexo : patch.exe

ou

ou

O worm só é ativado a partir do e-mail infectado quando um usuário clica em um arquivo anexado. O worm então se instala no sistema, executa sua rotina de distribuição e sua carga útil.

Instalando

Durante a instalação, o worm se copia para o diretório de sistema do Windows duas vezes com o nome "article.doc.exe" e com um nome ".exe" aleatório (como WVUUQ.EXE) e, em seguida, registra o último arquivo em:

em Win9x: arquivo WIN.INI, seção [windows], comando "run ="
sob WinNT: registro do sistema Executar = chave.

O worm também cria uma chave de registro adicional:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGames Worm
DisplayName = Wargames Uninstall
UninstallString = mouse rundll32, desabilitar

O worm também procura vários programas e tenta finalizar seus processos. Nesta lista existem programas antivírus, bem como alguns vírus wildspread:

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE
KERN32.EXE
SETUP.EXE
RUNDLLW32.EXE
GONER.SCR
LOAD.EXE
INETD.EXE
FILES32.VXD
SCAM32.EXE
GDI32.EXE
_SETUP.EXE
EXPLORE.EXE
ZIPPED_FILES.EXE

Espalhando

Para enviar mensagens infectadas, o worm usa três maneiras diferentes (e envia mensagens de três tipos diferentes – veja acima).

Primeiro, o worm verifica os arquivos * .HT *, * .DOC e * .XLS no diretório Windows nos diretórios Pessoal, Área de Trabalho, Favoritos e Cache da Internet de um usuário, procura endereços de e-mail e envia mensagens infectadas para eles. endereços.

Em seguida, o vírus cria o arquivo "wargames.vbs" no diretório do Windows, grava um script VBS e o executa. Os scripts envia mensagens infectadas para todos os endereços do Catálogo de Endereços do MS Outlook.

No final, o worm, usando as funções do Windows MAPI, se conecta à caixa de entrada e "responde" todas as mensagens de lá.


Link para o original