ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Worm.Win32.Shorm

Classe Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um worm de rede que se espalha por redes locais e globais. Para se espalhar, o worm se conecta a computadores remotos e, se o disco for compartilhado para acesso total, o worm se copia para o diretório de inicialização do Windows (se existir).

O worm também possui capacidade de roubo de senhas. Ele obtém informações RAS (user mame, números de telefone, senhas), bem como senhas armazenadas em cache e as envia para dois endereços de e-mail, krenx@mail.ru e winam@mail.ru.

O próprio worm é um aplicativo Win32 (arquivo EXE PE) escrito em Delphi e compactado com o utilitário de compactação ASpach PE EXE. O corpo do worm contém o seguinte texto:

SharedWorm v1.2

Quando o worm é executado, ele se copia para o diretório do sistema Windows usando três nomes: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE e registra esses arquivos nas seguintes chaves de execução automática do Registro:

HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices

Então, o worm é executado toda vez que o Windows é reiniciado.

O worm então se conecta à página da Web "http://krenx.newmail.ru/ip.txt" e lê seu conteúdo. Essa página contém uma lista de endereços IP de sub-rede. Existem três números no endereço em vez de quatro números de endereço IP, por exemplo:

194.135.175.
213.24.179.
195.209.191.
213,59.57.

O worm seleciona aleatoriamente uma dessas "máscaras" de sub-rede e tenta se conectar a cada máquina na sub-rede. Se a conexão for bem-sucedida, o worm tenta acessar os arquivos de disco do disco rígido do computador, depois localiza o nome do diretório do Windows nesse computador e copia a si mesmo para lá com o seguinte nome:

Inicie o MenuProgramsStartUpAVPMonitor.exe

Assim, a cópia do worm é colocada no diretório de início automático do Windows e é ativada na próxima reinicialização do Windows.

O worm também é capaz de se atualizar de um site da Internet. Obtém o ficheiro da Internet "http://krenx.newmail.ru/win.exe", copia-o para a máquina local e executa-o.


Link para o original