ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Xanax

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um worm da Internet que foi encontrado na natureza em meados de março de 2001. O worm se espalha via e-mail enviando mensagens infectadas de computadores afetados através de canais de IRC, enviando sua cópia para lá. O worm também infecta arquivos EXE no diretório do Windows.

O worm em si é um aplicativo Win32 (arquivo EXE PE) escrito em linguagem Microsoft Visual C ++. O tamanho do worm tem cerca de 60K de comprimento, mas foi encontrado em formato comprimido: o código do worm foi comprimido pelo utilitário ASPack, possuindo cerca de 34K de comprimento.

Quando o worm é iniciado, ele se copia para o diretório do sistema Windows com dois nomes: XANAX.EXE e XANSTART.EXE. O arquivo XANSTART.EXE é então registrado na chave de execução automática do Registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Padrão =% winsystem% xanstart.exe

onde% winsystem% é o nome do diretório do sistema Windows. Como resultado, o worm é executado toda vez que o Windows é inicializado.

E-mail infectado

O worm então lança sua rotina de propagação de e-mails. Para fazer isso, o worm cria um arquivo temporário XANAX.VBS (script do Visual Basic), grava um programa VBS lá e o inicia com a ajuda de WSCRIPT.EXE. O programa VBS obtém acesso ao catálogo de endereços do Outlook e envia mensagens para os primeiros 1.000 endereços de cada uma das listas de endereços

Assunto: Estressado? Experimente o Xanax!
Corpo:

Olá! Você está tão estressado que isso deixa você doente? Você não está sozinho!
Muitas pessoas sofrem de estresse nos dias de hoje. Talvez você encontre o Prozac também
Forte? Então você precisa experimentar Xanax, é mais suave. Ainda não está convencido?
Confira os detalhes médicos no arquivo anexado. Xanax pode mudar
sua vida!

Anexos: xanax.exe

Infecção de arquivos EXE

O worm então procura arquivos EXE no diretório do Windows e os infecta. Enquanto infecta, o worm move o corpo de um arquivo de vítima para baixo e se escreve para o início do arquivo. O worm não infecta arquivos com nomes iniciados por E, P, R, S, T, W.

Canais de IRC

Em seguida, o worm infecta o cliente mIRC, se ele estiver instalado. O worm procura o cliente mIRC nos seguintes diretórios:

mirc
Program Filesmirc

nas unidades C :, D :, E: e F:. Se o cliente mIRC existir, o worm substitui o arquivo de script mIRC do SCRIPT.INI por um programa que envia a cópia do worm para todos que ingressam no canal infectado.

Outros comentários

Quando o worm é executado a partir de um arquivo com o nome com a letra 'R' como o próximo ao último em um nome de arquivo (xxxRx.EXE), ele exibe a seguinte mensagem:

Xanax 8-cloro-1-metil-6-fenil-4H-s-triazolo (4,3-alfa) (1,4) benzodiazepina

O nome exato contém o arquivo do worm XANSTART.EXE que está registrado na chave de execução automática do Registro do sistema. Assim, o worm exibe essa mensagem em cada inicialização do Windows.

O worm também cria mais arquivos no sistema:

  • Diretório de sistema do Windows: HOSTFILE.EXE
  • Diretório do Windows: WINSTART.BAT, XANAX.SYS
  • O HOSTFILE.EXE permanece após a execução de um arquivo host infectado e esse arquivo contém um corpo puro (não infectado) da última execução de arquivo infectado.

    O arquivo XANAX.SYS contém o texto:

    Win32.HLLP.Xanax (c) 2001 Gigabyte

    O arquivo WINSTART.BAT contém comandos que exibem a mensagem:

    Não tome este medicamento com etanol, Buspar (buspirona), antidepressivos TCA, narcóticos ou outros depressores do SNC. Esta combinação pode aumentar a depressão do SNC. Certifique-se de não tomar outros sedativos, benzodiazepínicos ou pílulas para dormir com este medicamento. As combinações podem ser fatais. Não fume ou beba álcool quando tomar Xanax. O álcool pode baixar a pressão sanguínea e diminuir sua taxa de respiração até o ponto de inconsciência. O fumo de tabaco e maconha pode aumentar os efeitos sedativos de Xanax.


    Link para o original