ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Worm.Win32.Hai

Classe Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um worm de rede local que se espalha nos sistemas Win32. O worm em si é um arquivo executável do Win32 com cerca de 60K de comprimento e está escrito em MS Visual C ++. A versão conhecida do worm é criptografada pela ferramenta de proteção de arquivos PELock Win32 EXE.

O processo de distribuição distribui a cópia do worm por toda a rede local para as unidades compartilhadas para leitura / gravação. O worm enumera recursos de rede (diretórios compartilhados) e procura o WINDOWS lá. Se tal subdiretório for encontrado, o worm se copia para lá com um nome EXE aleatório (por exemplo, RLITK.EXE, STNXOUL.EXE) e registra essa cópia em um arquivo WIN.INI, seção [windows], "Run =" comando (comando de execução automática). Como resultado, o worm é capaz de infectar somente máquinas Win9x (o WinNT não usa arquivos WIN.INI, ao invés disso, usa um registro).

Ao modificar o arquivo Win.ini, o worm usa um arquivo WIN.HAI temporário; Assim, o worm é nomeado de tal maneira.

O worm também verifica a rede local e outros endereços IP. Durante a varredura, o worm simplesmente obtém o próximo endereço IP, tenta abrir uma conexão com essa máquina e, em seguida, fecha imediatamente a conexão e não usa o resultado da conexão de nenhuma maneira.

O algoritmo de varredura aparece da seguinte maneira: o worm obtém o endereço IP da máquina atual como um "endereço base" e executa dois processos: o primeiro varre todos os endereços IP incrementando o endereço base e o segundo faz isso diminuindo a base endereço.

Por exemplo, se o IP de uma máquina atual for 192.3.2.1, o worm fará a varredura:

 primeiro processo segundo processo

 192.3.2.1 192.3.2.1
 192.3.2.2 192.3.1.255
 192.3.2.3 192.3.1.254
 192.3.2.4 192.3.1.253
 ... ...
 192.3.2.255 192.3.1.1
 192.3.3.1 192.2.255.255
 ... ...
 192.3.255.255 192.1.1.1
 192.4.1.1 191.255.255.255

Link para o original