ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Win32.Parvo

Classe Virus
Plataforma Win32
Descrição

Detalhes técnicos

Este vírus se espalha sob Win32 (Win95 / 98 e WinNT) e infecta os arquivos PE EXE (Portable Executable). O vírus tem tamanho bastante grande para um programa escrito em Assembler – cerca de 15Kb. É vírus polimórfico.

A característica mais interessante deste vírus é a sua capacidade de enviar arquivos EXE infectados para a Internet usando protocolos padrão de e-mail (veja também outros vírus que enviam mensagens infectadas via e-mail: "Win.RedTeam" , "Macro.Word97.Antimarc" , " Macro.Word.Innuendo " , " Macro.Word.ShareFun " ).

Dependendo do contador aleatório, o vírus chama sua segunda rotina de acesso à Internet. Desta vez, o vírus não espalha suas cópias, mas apenas procura o banco de dados DialUp e envia para o autor do vírus.

O código do vírus contém os "direitos autorais" do autor:


– Parvo BioCoded por GriYo / 29A – Suporte Técnico Win32 por Jacky Qwerty / 29A
– Obrigado a Darkman / 29A e b0z0 / Ikx pelas suas ideias e estratégia
– Parvo é um espécime de pesquisa, não distribuir
– c1999 29A Labs … Criamos vida –

Muitas rotinas de vírus (infecção, polimórfica) têm os mesmos recursos, como o vírus "Win95.Marburg" . O vírus se grava no final da última seção do arquivo; não modifica o endereço de entrada do PE, mas corrige o código de entrada do programa original com a instrução JMP_Virus, ou com um bloco de código indesejado que, no final, passa o controle para o código de vírus; etc

Quando o vírus assume o controle, o loop de decodificação polimórfico e a rotina de decriptografia lite adicional restauram o código do vírus e passam o controle para a rotina principal do vírus.

O vírus protege seu código usando o método CRC. Calcula o CRC do seu código e sai, se o CRC não estiver correto. Parece que esse recurso é necessário para o vírus porque ele envia arquivos infectados pela Internet, portanto, a verificação de CRC impede a execução de cópias corrompidas.

O vírus então verifica o kernel do Windows e procura por acesso, pesquisa e outras funções da API usadas pelo vírus. Ao procurar por funções da API, o vírus não usa seus nomes, mas somas de verificação. Para encontrar a seqüência necessária no kernel do Windows, o vírus calcula seus CRCs um a um e compara os resultados com uma tabela de valores pré-calculados que são salvos no código de vírus.

Para infectar arquivos no disco, o vírus os procura nos diretórios atuais, do Windows e do Windows. O vírus também afeta os arquivos nos diretórios, que contêm o navegador da Internet instalado e o leitor de e-mail. O vírus obtém esses nomes de diretórios do registro do sistema.

O vírus não infecta todos os arquivos encontrados, mas apenas arquivos com nomes específicos: IEXPLORE.EXE, INSTALL.EXE, NETSCAPE.EXE, NOTEPAD.EXE, SETUP.EXE, WINZIP32.EXE e outros. Para comparar nomes de arquivos, o vírus também usa o método de soma de verificação enquanto procura por funções da API.

Para retornar o controle ao programa host, o vírus cria sua cópia com um nome selecionado aleatoriamente, desinfecta e executa. O vírus então aguarda a saída do arquivo do host, de modo que o código do vírus permanece na memória até o momento em que o programa do host termina. Embora o código do vírus possa permanecer na memória por muito tempo, o vírus não é residente na memória. Ele não conecta nenhum evento do sistema e não intercepta a abertura / execução do arquivo para infectá-los.

Para enviar arquivos infectados à Internet, o vírus conecta a Internet usando funções padrão do Windows, obtém um endereço de e-mail selecionado aleatoriamente, envia uma mensagem fraudulenta para ele e anexa à mensagem o conta-gotas EXE infectado (veja o texto das mensagens abaixo). Para obter um endereço de e-mail da vítima, o vírus vai para vários grupos de notícias, lê a mensagem selecionada aleatoriamente e procura a string FROM nela. Quando esse texto de ID é encontrado, o vírus usa o endereço seguido para enviar a mensagem infectada.

O nome do arquivo infectado é selecionado entre três possíveis variantes: MSEFIXI.EXE, LSERIAL.EXE ou HOTEENS.EXE. As mensagens (incluindo cabeçalhos) também são selecionadas de três variantes:

Mensagem 1 ———————————————— ————-

email de: support@microsoft.com de: support@microsoft.com rcpt para: endereço selecionado aleatoriamente para: endereço selecionado aleatoriamente Assunto: Presente risco de segurança usando o Microsoft Internet Explorer e Outlook Express

Um novo e perigoso vírus atingiu a Internet.

DESCRIÇÃO:

Quando o cliente de email recebe um email mal-intencionado ou uma mensagem de notícias que contém um anexo com um nome de arquivo muito longo, ele pode fazer com que o email execute código arbitrário automaticamente na estação de trabalho do cliente, infectando a máquina.

A Microsoft tem conhecimento desse problema desde o início e apresenta aqui um patch para os dois produtos em que ele é explorado.

Outlook 98 no Windows � 95, Windows 98 e Microsoft Windows NT � 4.0 Outlook Express 4.0, 4.01 (incluindo 4.01 com Service Pack 1) no Windows 95, Windows 98 e Windows NT 4.0 Clientes de email do Netscape

SOLUÇÃO:

Os clientes que usam esses produtos para Windows 95, Windows 98 ou Windows NT 4.0 devem executar o patch anexado ou baixar um patch atualizado de:

http://www.microsoft.com/outlook/enhancements/outptch2.asp

Por favor, corrija o (s) seu (s) computador (es) o mais rápido possível e nos ajude a combater essa ameaça à Internet.

Obrigado pelo seu tempo.

Suporte Microsoft

Mensagem 2 ———————————————— ————-

Mail de: a partir de: rcpt to: endereço selecionado aleatoriamente para: endereço selecionado aleatoriamente Assunto: Novo e maior número de série lista agora!

Oi

Você precisa de um número de série para um programa não registrado?

Você se sente como se tivesse procurado em todos os lugares?

Mesmo na mais nova versão do Phrozen Crews Oscar?

Se você puder responder – sim – a algumas das perguntas acima e ainda estiver procurando por um número de série, esse pode ser o programa pelo qual você estava esperando.

Nós coletamos números de série por muitos anos e agora estamos orgulhosos de lançar a primeira versão de nossa coleção de números de série, que contém mais de 15.000 números de série.

Anexado a esta mensagem está a primeira versão da nossa coleção de números de série.

Seu, coletores do número de série

Mensagem 3 ———————————————— ————-

Mail de: a partir de: rcpt to: endereço selecionado aleatoriamente para: endereço selecionado aleatoriamente Assunto: Novo site e 100% gratuito do XXX

Prezado cliente em potencial,

Acabamos de abrir um novo site erótico com mais de 10.000 .JPGs e mais de 1.000 .MPG / .VIV / .AVI / .MOV / etc.

Oferecemos a você a oportunidade de uma vida, estamos dando um acesso de meses, sem ser cobrado, para o nosso novo site em troca de sua opinião.

Tudo o que você precisa fazer é executar o anúncio anexado, que gerará seu ID de usuário pessoal, você não precisa fornecer informações como o número do seu cartão de crédito pessoal, etc.

E se você gosta do nosso site, por favor diga a todos os seus amigos sobre nós.

http://www.hoteens.com/

HoTeens.com


Link para o original