ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Winevar

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é o vírus worm se espalhando pela Internet, sendo anexado a e-mails infectados. O verme foi encontrado na selva na Coréia no final de novembro de 2002.

O worm em si é um arquivo EXE do Windows PE com cerca de 91Kb de comprimento escrito em Microsoft Visual C ++. A maioria das strings de texto no corpo do worm é criptografada.

Instalando

Durante a instalação, o worm se copia para o diretório de sistema do Windows com o nome selecionado aleatoriamente:

GANHE% rnd% .PIF

em que% rnd% é um número aleatório e registra esse arquivo na chave de execução automática do registro do sistema:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Existem dois valores escritos para todas essas chaves:

.default =% nome do arquivo do worm%
% nome do worm% =% nome do arquivo do worm%

onde% nome do worm% é nome do arquivo do worm sem extensões,% nome do arquivo do worm% é nome completo do arquivo, por exemplo:

.default = "C: TEMP WIND2C2.pif"
"WINA2B3" = "C: WINDOWS SYSTEM WINA2B3.pif"

Parece que a duplicata ".default" é gravada na chave de registro devido a um bug no código do worm.

Mais tarde, o worm também se copia com o nome EXPLORER.PIF para a área de trabalho.

Espalhando

Para receber e-mails de vítimas, o worm procura arquivos * .HTM e * .DBX e extrai endereços de e-mail de lá, exceto os que possuem "@microsoft." parte no endereço de e-mail. Para enviar mensagens infectadas, o worm usa conexão direta com o servidor SMTP padrão.

Ao enviar a si mesmo, o worm anexa à sua cópia as seguintes informações:

– ID da região do país (por exemplo: [KOR], [RUS] – para a Coreia e a Rússia)
– data e hora atuais
– nome de usuário e nome da empresa (como é armazenado nas informações de registro)

Usando esses dados, é possível rastrear um processo específico de "migração" de cópia de worm.

As mensagens infectadas têm dados diferentes nos campos de email. Abaixo do% RegisteredOwner% e% RegisteredOrganization%

O assunto é aleatoriamente (dependendo da "geração" do worm) selecionado das variantes:

Re: AVAR (Associação de Anti-Virus Asia Reseachers)
N'4% de RegisteredOrganization%
N'4 Trand Microsoft Inc.

A última (terceira) variante é selecionada caso não exista uma chave "RegistreredOrganization" no registro do sistema. A combinação "N`4" não é descriptografada "Re:", parece que o autor do worm esqueceu de descriptografar essa string na rotina correspondente.

O corpo da mensagem também é selecionado dependendo da geração de worm:

% RegisteredOwner% -% RegisteredOrganization%

ou:

AVAR (Associação de Antivírus Ásia Reseachers) – Relatório.
Invariavelmente, o programa antivírus é muito tolo.

Nomes de arquivos anexados podem ser diferentes, por exemplo:

MUSIC_1.HTM, MUSIC_2.CEO
WIN40B1.TXT, WIN40B1.GIF

Onde os nomes "WIN" têm um número aleatório no final (neste caso – "40B1"). Ao mesmo tempo, dependendo do cliente de email, a aparência desses arquivos anexados na mensagem infectada pode ser diferente.

Para executar a partir de uma mensagem infectada, o worm usa duas violações de segurança:

Componente Microsoft VM ActiveX
Cabeçalho MIME incorreto pode causar IE para executar anexo de email

Carga útil

O worm procura por programas antivírus, firewalls e depuradores e tenta finalizá-los, bem como para matar seus arquivos. Em alguns casos (em todos os casos?) Se um antivírus for encontrado, o worm apaga todos os arquivos em todas as unidades, provavelmente devido a um erro em seu código.

O worm cai para o diretório de sistema do Windows "WIN% Rnd% .TMP", grava o vírus "Win32.Funlove" e executa esse arquivo. Assim, o worm infecta a máquina com o vírus "Win32.Funlove".

O worm exibe a mensagem:

Se fazer de bobo
Que coisa tola você fez!

Em um loop infinito, o worm abre o site http://www.symantec.com (parece que o worm tenta executar um ataque DoS nesse servidor).

O worm também segue seqüências de texto criptografadas:

~~ Drone Of StarCraft ~~
http://www.sex.com/


Link para o original