ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.VBS.Freelink

Classe Virus
Plataforma VBS
Descrição

Detalhes técnicos

Este é um worm escrito em Visual Basic Script Language (VBS). Este worm se espalha via e-mail e canais de IRC (Internet Relay Chat).

Sendo executado, o script worm cria um novo arquivo de script "RUNDLL.VBS" na pasta de sistema do Windows e modifica o registro do sistema para executar esse script a cada inicialização do Windows.

Em seguida, o worm exibe a seguinte caixa de mensagem:


Isso adicionará um atalho para liberar links XXX em sua área de trabalho. Você quer
continuar?

Se um usuário responder "SIM", o worm criará um atalho na área de trabalho com URL para o site XXX.

Em seguida, o worm enumera todas as unidades de rede em um computador e copia o script infectado para o diretório raiz de cada unidade de rede.

Para se espalhar via e-mail, o worm usa o MS Outlook. A rotina de disseminação do worm é muito semelhante a uma rotina desse tipo no vírus "Melissa" e funciona da mesma maneira. A mensagem com o script worm infectado contém um script de worm anexado (LINKS.VBS).


O assunto da mensagem: Marque esta
O corpo da mensagem: Divirta-se com esses links.

O script "RUNDLL.VBS", quando executado cria, outro arquivo de script "LINKS.VBS" no diretório do Windows (LINKS.VBS é o mesmo script descrito acima). Em seguida, ele verifica todas as unidades fixas para pastas "MIRC", "PIRCH98", "Arquivos de programas" (a pasta onde a maioria dos programas do Windows geralmente estão instalados) e também todas as suas subpastas e procura o "MIRC32.EXE" ou "PIRCH98". Programas EXE "(clientes IRC populares). Se algum desses programas for encontrado, o worm cria um arquivo de script (SCRIPT.INI para MIRC ou EVENTS.INI para PIRCH) que contém comandos para enviar um "LINKS.VBS" infectado para outros usuários de IRC quando eles se juntarem ao mesmo canal de IRC. ao qual um computador infectado está conectado.


Link para o original