ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.VBS.Hard

Classe Virus
Plataforma VBS
Descrição

Detalhes técnicos

Este é um worm da Internet escrito em Visual Basic Script Language (VBS). Ele se espalha usando o MS Outlook Express.

Este worm se espalha via e-mail, enviando mensagens infectadas de computadores infectados. Ao se espalhar, o worm usa o MS Outlook Express e se envia para todos os endereços armazenados no Catálogo de Endereços do Windows. Como resultado, um computador infectado envia quantas mensagens para tantos endereços mantidos no Catálogo de Endereços do Windows.

Ele funciona somente em computadores nos quais o WSH (Windows Scripting Host) está instalado. No Windows 98 e no Windows 2000, o WHS é instalado por padrão.

O worm chega a um computador como uma mensagem de e-mail com o arquivo anexado "www.symantec.com.vbs", que é o próprio worm.

A mensagem infectada na versão original do worm contém:

Subject = "FW: Aviso do Symantec Anti-Virus"
Corpo = —– Mensagem Original —–
De: [warning@symantec.com]
Para: [supervisor@av.net]; [security@softtools.com];
[mark_fyston@storess.net]; [directorcut@ufp.com];
[pjeterov@goldenhit.org>; [kim_di_yung@freeland.ch];
[james.heart@macrosoft.com]
Assunto: FW: Aviso do Symantec Anti-Virus

Olá,
Existe um novo worm na Internet.
Este verme é muito rápido e muito perigoso!

A Symantec notou pela primeira vez em 4 de abril de 2001.

O arquivo anexado é uma descrição do worm e como ele se replica.

Atenciosamente,
F. Jones
Desenvolvedor sênior da Symantec

Após a ativação, o worm cria uma falsa página de informações de vírus da Symantec sobre o vírus inexistente "VBS.AmericanHistoryX_II@mm" e o exibe. Em seguida, ele cria vários arquivos que são usados ​​posteriormente para propagação.

O primeiro arquivo é chamado "c: www.symantec_send.vbs" contendo o Visual Basic Script que instrui o MS Outlook Express a enviar mensagens infectadas para todos os endereços no Catálogo de Endereços do Windows.

O segundo arquivo "c: message.vbs" contém o Visual Basic Script que, em 24 de novembro, exibe a seguinte mensagem:

Algumas notícias chocantes
Não fique surpreso!
É apenas um aviso sobre sua estupidez
Cuidar!

Esses dois arquivos são registrados pelo worm no registro do sistema na seção de execução automática. Assim, esses scripts ganham controle em cada inicialização do Windows.

O worm também registra uma página de informações de vírus falso como a página inicial do Internet Explorer.

Para evitar a propagação duplicada da mesma máquina, o worm cria "HKLMSOFTWAREMicrosoftWABOE Done" na chave de registro do sistema e define seu valor como "Hardhead_SatanikChild". Desta forma, não se espalha da mesma máquina duas vezes.


Link para o original