ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.
Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe | Email-Worm |
Plataforma | Win32 |
Descrição |
Detalhes técnicosEste é um worm da Internet que foi encontrado na natureza em meados de março de 2001. O worm se espalha via e-mail enviando mensagens infectadas de computadores afetados através de canais de IRC, enviando sua cópia para lá. O worm também infecta arquivos EXE no diretório do Windows. O worm em si é um aplicativo Win32 (arquivo EXE PE) escrito em linguagem Microsoft Visual C ++. O tamanho do worm tem cerca de 60K de comprimento, mas foi encontrado em formato comprimido: o código do worm foi comprimido pelo utilitário ASPack, possuindo cerca de 34K de comprimento. Quando o worm é iniciado, ele se copia para o diretório do sistema Windows com dois nomes: XANAX.EXE e XANSTART.EXE. O arquivo XANSTART.EXE é então registrado na chave de execução automática do Registro:
onde% winsystem% é o nome do diretório do sistema Windows. Como resultado, o worm é executado toda vez que o Windows é inicializado. E-mail infectadoO worm então lança sua rotina de propagação de e-mails. Para fazer isso, o worm cria um arquivo temporário XANAX.VBS (script do Visual Basic), grava um programa VBS lá e o inicia com a ajuda de WSCRIPT.EXE. O programa VBS obtém acesso ao catálogo de endereços do Outlook e envia mensagens para os primeiros 1.000 endereços de cada uma das listas de endereços
Infecção de arquivos EXEO worm então procura arquivos EXE no diretório do Windows e os infecta. Enquanto infecta, o worm move o corpo de um arquivo de vítima para baixo e se escreve para o início do arquivo. O worm não infecta arquivos com nomes iniciados por E, P, R, S, T, W. Canais de IRCEm seguida, o worm infecta o cliente mIRC, se ele estiver instalado. O worm procura o cliente mIRC nos seguintes diretórios:
nas unidades C :, D :, E: e F:. Se o cliente mIRC existir, o worm substitui o arquivo de script mIRC do SCRIPT.INI por um programa que envia a cópia do worm para todos que ingressam no canal infectado. Outros comentáriosQuando o worm é executado a partir de um arquivo com o nome com a letra 'R' como o próximo ao último em um nome de arquivo (xxxRx.EXE), ele exibe a seguinte mensagem: O nome exato contém o arquivo do worm XANSTART.EXE que está registrado na chave de execução automática do Registro do sistema. Assim, o worm exibe essa mensagem em cada inicialização do Windows. O worm também cria mais arquivos no sistema:
O HOSTFILE.EXE permanece após a execução de um arquivo host infectado e esse arquivo contém um corpo puro (não infectado) da última execução de arquivo infectado. O arquivo XANAX.SYS contém o texto:
O arquivo WINSTART.BAT contém comandos que exibem a mensagem:
|
Link para o original |
|
Descubra as estatísticas das ameaças que se espalham em sua região |