ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.VBS.FriendMess

Classe Virus
Plataforma VBS
Descrição

Detalhes técnicos

Esse perigoso worm da Internet é escrito na linguagem Visual Basic Script. Para espalhar, o worm usa o MS Outlook 98/2000. Se outro programa de email for usado, o worm não poderá se espalhar, mas executará sua rotina de carga útil (veja abaixo).

O worm chega a um computador como uma mensagem de e-mail:

Assunto: MENSAGEM DO AMIGO
Corpo: Um amigo de verdade envia esta mensagem para você.

A mensagem tem um arquivo anexado "FRIEND_MESSAGE.TXT.vbs". Dependendo das configurações do sistema, uma extensão real do arquivo anexado (".vbs") pode não ser mostrada. Nesse caso, o nome do arquivo de um arquivo anexado é exibido como "FRIEND_MESSAGE.TXT".

O arquivo anexado contém o script escrito na linguagem do Visual Basic Script. Ao ser ativado clicando duas vezes em um arquivo anexado, o script ganha controle e o worm começa a funcionar.

O worm cria o arquivo "FRIEND_MESSAGE.TXT.vbs" no diretório de sistema do Windows e grava seu próprio código lá (esse arquivo é usado posteriormente por um worm para espalhar suas cópias). Em seguida, o worm exibe a seguinte mensagem:

Se você receber esta mensagem, lembre-se para sempre: Um amigo precioso
em todo o mundo como só você! Então pense isso!

Depois disso, o worm executa sua rotina de propagação. Essa rotina obtém acesso ao MS Outlook e envia mensagens infectadas para todos os destinatários do catálogo de endereços do Outlook. Essas mensagens são parecidas com as que chegaram (veja acima). Ao se espalhar, o worm armazena endereços de destinatários infectados no registro do sistema e não envia mensagens para destinatários já infectados.

O worm contém uma rotina de carga útil que sobrescreve um arquivo "C: AUTOEXEC.BAT" com comandos que excluem todos os arquivos no diretório do Windows, no diretório de sistema do Windows e no diretório temporário do Windows. Esses comandos no arquivo "C: AUTOEXEC.BAT" são executados na inicialização do sistema.


Link para o original