ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

P2P-Worm.Win32.Gotorm

Classe P2P-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um vírus Worm. Ele se espalha através da rede peer-to-peer Kazaa. Além disso, executa algumas funções de espionagem, reunindo dados sobre determinados jogos instalados no PC afetado. Este worm é um aplicativo do Windows (arquivo PE EXE). Está escrito em Visual C, e seu tamanho é 196 608 bytes.

Instalação

Durante a instalação, o worm produz a seguinte mensagem falsa sobre a extração do arquivo:

WinZip Self-Extractor, cabeçalho WinZip Self-Extractor corrompido. Possível causa: erro de transferência de disco ou arquivo inválido.

Posteriormente, grava-se no diretório do Windows com o seguinte nome:

mrowyekdc.exe

Esta instalação do worm é então registrada na chave de execução automática no registro do sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  SVCHOST =% WindowsDir% mrowyekdc.exe 

Espalhando

O worm cria uma pasta chamada "User Files" no diretório do Windows e grava a si mesma sob os seguintes nomes:

Starcraft + Broodwar 1.10 map hack.exe
Starcraft + Broodwar 1.10 no-cd hack.exe
Diablo 2 map hack.exe
Diablo 2 no-cd hack.exe
Jamella's Diablo 2 hero editor.exe
Warcraft 3 map hack.exe
Warcraft 3 stat hack.exe
Warcraft 3 no-cd hack.exe
Mapa do Warcraft 3 Frozen Throne hack.exe
Warcraft 3 Congelado Throne cd-cd hack.exe
O mapa do Trono Congelado hack.exe
Counterstrike hacks.exe
Counterstrike aim hack.exe

Esta pasta é então anotada no registro do sistema Windows como Conteúdo Local para a rede de troca de arquivos Kazaa:

 HKCUSoftwareKazaaLocalContent
  dir0 = 012345:% Windir% User Files
  DisableSharing = "0 

Como resultado, os arquivos contidos nesta pasta ficam disponíveis para download para outros usuários de redes P2P.

Função de espionagem

O worm verifica o registro do sistema em busca de chaves relacionadas a jogos de computador populares (Counter Strike, Diablo, Warcraft, Starcraft) e envia dados coletados para o "dono" do worm usando uma conexão de servidor SMTP.

Diversos

O worm verifica a data e a hora do sistema. Se o mês da ativação do worm for anterior a agosto, ele deixará de executar suas funções e excluirá todas as suas entradas no registro do sistema.


Link para o original