Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um worm da Internet que foi encontrado na natureza em meados de março de 2001. O worm se espalha via e-mail enviando mensagens infectadas de computadores afetados através de canais de IRC, enviando sua cópia para lá. O worm também infecta arquivos EXE no diretório do Windows.

O worm em si é um aplicativo Win32 (arquivo EXE PE) escrito em linguagem Microsoft Visual C ++. O tamanho do worm tem cerca de 60K de comprimento, mas foi encontrado em formato comprimido: o código do worm foi comprimido pelo utilitário ASPack, possuindo cerca de 34K de comprimento.

Quando o worm é iniciado, ele se copia para o diretório do sistema Windows com dois nomes: XANAX.EXE e XANSTART.EXE. O arquivo XANSTART.EXE é então registrado na chave de execução automática do Registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Padrão =% winsystem% xanstart.exe

onde% winsystem% é o nome do diretório do sistema Windows. Como resultado, o worm é executado toda vez que o Windows é inicializado.

E-mail infectado

O worm então lança sua rotina de propagação de e-mails. Para fazer isso, o worm cria um arquivo temporário XANAX.VBS (script do Visual Basic), grava um programa VBS lá e o inicia com a ajuda de WSCRIPT.EXE. O programa VBS obtém acesso ao catálogo de endereços do Outlook e envia mensagens para os primeiros 1.000 endereços de cada uma das listas de endereços

Assunto: Estressado? Experimente o Xanax!
Corpo:

Olá! Você está tão estressado que isso deixa você doente? Você não está sozinho!
Muitas pessoas sofrem de estresse nos dias de hoje. Talvez você encontre o Prozac também
Forte? Então você precisa experimentar Xanax, é mais suave. Ainda não está convencido?
Confira os detalhes médicos no arquivo anexado. Xanax pode mudar
sua vida!

Anexos: xanax.exe

Infecção de arquivos EXE

O worm então procura arquivos EXE no diretório do Windows e os infecta. Enquanto infecta, o worm move o corpo de um arquivo de vítima para baixo e se escreve para o início do arquivo. O worm não infecta arquivos com nomes iniciados por E, P, R, S, T, W.

Canais de IRC

Em seguida, o worm infecta o cliente mIRC, se ele estiver instalado. O worm procura o cliente mIRC nos seguintes diretórios:

mirc
Program Filesmirc

nas unidades C :, D :, E: e F:. Se o cliente mIRC existir, o worm substitui o arquivo de script mIRC do SCRIPT.INI por um programa que envia a cópia do worm para todos que ingressam no canal infectado.

Outros comentários

Quando o worm é executado a partir de um arquivo com o nome com a letra 'R' como o próximo ao último em um nome de arquivo (xxxRx.EXE), ele exibe a seguinte mensagem:

Xanax 8-cloro-1-metil-6-fenil-4H-s-triazolo (4,3-alfa) (1,4) benzodiazepina

O nome exato contém o arquivo do worm XANSTART.EXE que está registrado na chave de execução automática do Registro do sistema. Assim, o worm exibe essa mensagem em cada inicialização do Windows.

O worm também cria mais arquivos no sistema:

Diretório de sistema do Windows: HOSTFILE.EXE
Diretório do Windows: WINSTART.BAT, XANAX.SYS

O HOSTFILE.EXE permanece após a execução de um arquivo host infectado e esse arquivo contém um corpo puro (não infectado) da última execução de arquivo infectado.

O arquivo XANAX.SYS contém o texto:

Win32.HLLP.Xanax (c) 2001 Gigabyte

O arquivo WINSTART.BAT contém comandos que exibem a mensagem:

Não tome este medicamento com etanol, Buspar (buspirona), antidepressivos TCA, narcóticos ou outros depressores do SNC. Esta combinação pode aumentar a depressão do SNC. Certifique-se de não tomar outros sedativos, benzodiazepínicos ou pílulas para dormir com este medicamento. As combinações podem ser fatais. Não fume ou beba álcool quando tomar Xanax. O álcool pode baixar a pressão sanguínea e diminuir sua taxa de respiração até o ponto de inconsciência. O fumo de tabaco e maconha pode aumentar os efeitos sedativos de Xanax.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é um worm da Internet que foi encontrado na natureza em meados de março de 2001. O worm se espalha via e-mail enviando mensagens infectadas de computadores afetados através de canais de IRC, enviando sua cópia para lá. O worm também infecta arquivos EXE no diretório do Windows. O worm em si é um aplicativo Win32 (arquivo EXE PE) escrito em linguagem Microsoft Visual C ++. O tamanho do worm tem cerca de 60K de comprimento, mas foi encontrado em formato comprimido: o código do worm foi comprimido pelo utilitário ASPack, possuindo cerca de 34K de comprimento. Quando o worm é iniciado, ele se copia para o diretório do sistema Windows com dois nomes: XANAX.EXE e XANSTART.EXE. O arquivo XANSTART.EXE é então registrado na chave de execução automática do Registro: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Padrão =% winsystem% xanstart.exe onde% winsystem% é o nome do diretório do sistema Windows. Como resultado, o worm é executado toda vez que o Windows é inicializado. E-mail infectado O worm então lança sua rotina de propagação de e-mails. Para fazer isso, o worm cria um arquivo temporário XANAX.VBS (script do Visual Basic), grava um programa VBS lá e o inicia com a ajuda de WSCRIPT.EXE. O programa VBS obtém acesso ao catálogo de endereços do Outlook e envia mensagens para os primeiros 1.000 endereços de cada uma das listas de endereços Assunto: Estressado? Experimente o Xanax! Corpo: Olá! Você está tão estressado que isso deixa você doente? Você não está sozinho! Muitas pessoas sofrem de estresse nos dias de hoje. Talvez você encontre o Prozac também Forte? Então você precisa experimentar Xanax, é mais suave. Ainda não está convencido? Confira os detalhes médicos no arquivo anexado. Xanax pode mudar sua vida! Anexos: xanax.exe Infecção de arquivos EXE O worm então procura arquivos EXE no diretório do Windows e os infecta. Enquanto infecta, o worm move o corpo de um arquivo de vítima para baixo e se escreve para o início do arquivo. O worm não infecta arquivos com nomes iniciados por E, P, R, S, T, W. Canais de IRC Em seguida, o worm infecta o cliente mIRC, se ele estiver instalado. O worm procura o cliente mIRC nos seguintes diretórios: mirc Program Filesmirc nas unidades C :, D :, E: e F:. Se o cliente mIRC existir, o worm substitui o arquivo de script mIRC do SCRIPT.INI por um programa que envia a cópia do worm para todos que ingressam no canal infectado. Outros comentários Quando o worm é executado a partir de um arquivo com o nome com a letra 'R' como o próximo ao último em um nome de arquivo (xxxRx.EXE), ele exibe a seguinte mensagem: O nome exato contém o arquivo do worm XANSTART.EXE que está registrado na chave de execução automática do Registro do sistema. Assim, o worm exibe essa mensagem em cada inicialização do Windows. O worm também cria mais arquivos no sistema: Diretório de sistema do Windows: HOSTFILE.EXE Diretório do Windows: WINSTART.BAT, XANAX.SYS O HOSTFILE.EXE permanece após a execução de um arquivo host infectado e esse arquivo contém um corpo puro (não infectado) da última execução de arquivo infectado. O arquivo XANAX.SYS contém o texto: Win32.HLLP.Xanax (c) 2001 Gigabyte O arquivo WINSTART.BAT contém comandos que exibem a mensagem: Não tome este medicamento com etanol, Buspar (buspirona), antidepressivos TCA, narcóticos ou outros depressores do SNC. Esta combinação pode aumentar a depressão do SNC. Certifique-se de não tomar outros sedativos, benzodiazepínicos ou pílulas para dormir com este medicamento. As combinações podem ser fatais. Não fume ou beba álcool quando tomar Xanax. O álcool pode baixar a pressão sanguínea e diminuir sua taxa de respiração até o ponto de inconsciência. O fumo de tabaco e maconha pode aumentar os efeitos sedativos de Xanax.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Email-Worm.Win32.Xanax

Detalhes técnicos

E-mail infectado

Infecção de arquivos EXE

Canais de IRC

Outros comentários