..
Click anywhere to stop
Click anywhere to stop
ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.
Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe | Email-Worm |
Plataforma | Win32 |
Descrição |
Detalhes técnicosEste é o vírus worm se espalhando pela Internet, sendo anexado a e-mails infectados. O verme foi encontrado na selva na Coréia no final de novembro de 2002. O worm em si é um arquivo EXE do Windows PE com cerca de 91Kb de comprimento escrito em Microsoft Visual C ++. A maioria das strings de texto no corpo do worm é criptografada. InstalandoDurante a instalação, o worm se copia para o diretório de sistema do Windows com o nome selecionado aleatoriamente:
em que% rnd% é um número aleatório e registra esse arquivo na chave de execução automática do registro do sistema:
Existem dois valores escritos para todas essas chaves:
onde% nome do worm% é nome do arquivo do worm sem extensões,% nome do arquivo do worm% é nome completo do arquivo, por exemplo:
Parece que a duplicata ".default" é gravada na chave de registro devido a um bug no código do worm. Mais tarde, o worm também se copia com o nome EXPLORER.PIF para a área de trabalho. EspalhandoPara receber e-mails de vítimas, o worm procura arquivos * .HTM e * .DBX e extrai endereços de e-mail de lá, exceto os que possuem "@microsoft." parte no endereço de e-mail. Para enviar mensagens infectadas, o worm usa conexão direta com o servidor SMTP padrão. Ao enviar a si mesmo, o worm anexa à sua cópia as seguintes informações:
Usando esses dados, é possível rastrear um processo específico de "migração" de cópia de worm. As mensagens infectadas têm dados diferentes nos campos de email. Abaixo do% RegisteredOwner% e% RegisteredOrganization% O assunto é aleatoriamente (dependendo da "geração" do worm) selecionado das variantes:
A última (terceira) variante é selecionada caso não exista uma chave "RegistreredOrganization" no registro do sistema. A combinação "N`4" não é descriptografada "Re:", parece que o autor do worm esqueceu de descriptografar essa string na rotina correspondente. O corpo da mensagem também é selecionado dependendo da geração de worm:
ou:
Nomes de arquivos anexados podem ser diferentes, por exemplo:
Onde os nomes "WIN" têm um número aleatório no final (neste caso – "40B1"). Ao mesmo tempo, dependendo do cliente de email, a aparência desses arquivos anexados na mensagem infectada pode ser diferente. Para executar a partir de uma mensagem infectada, o worm usa duas violações de segurança:
Carga útilO worm procura por programas antivírus, firewalls e depuradores e tenta finalizá-los, bem como para matar seus arquivos. Em alguns casos (em todos os casos?) Se um antivírus for encontrado, o worm apaga todos os arquivos em todas as unidades, provavelmente devido a um erro em seu código. O worm cai para o diretório de sistema do Windows "WIN% Rnd% .TMP", grava o vírus "Win32.Funlove" e executa esse arquivo. Assim, o worm infecta a máquina com o vírus "Win32.Funlove". O worm exibe a mensagem:
Em um loop infinito, o worm abre o site http://www.symantec.com (parece que o worm tenta executar um ataque DoS nesse servidor). O worm também segue seqüências de texto criptografadas:
|
Link para o original |
|
Descubra as estatísticas das ameaças que se espalham em sua região |