O que é Picture.exe

Sintomas e Patologia Este "Cavalo de Tróia" se propaga através de Spam (e-mail enviados para um mailing do qual o usuário faz parte sem a sua autorização). O usuário recebe um e-mail com um arquivo EXE anexado e a contaminação se dá através da execução desse arquivo. O programa MANAGER.EXE - NÃO o Picture.EXE - é o "lançador" inicial, quando executado inicia também o NOTE.EXE de dentro do sub-diretório Windows e adiciona-o (NOTE.EXE) na linha RUN no WIN.INI, assim o NOTE.EXE é executado sempre que o usuário iniciar o sistema. Quando NOTE.EXE é executado ele procura pela existência de um arquivo chamado $2321.exe nas pastas windows. Se não existir o programa tenta criar um arquivo temporário em C:\ chamado file0001.chk Uma vez criado com sucesso ele constrói uma lista de arquivos .TXT e HTML no drive. O programa repete esta operação para todos os drives (C:, D:, E:, etc) até que encontre um drive no qual não possa criar o arquivo temporário, normalmente o drive de CD-ROM. A lista de arquivo é então escrita para um arquivo chamado $2321.dat que será encriptado adicionando 5 para cada caracter ASCII. A próxima vez que o NOTE.EXE é executado (na próxima inicialização do sistema) o programa "lê" o arquivo $2321.dat e olha dentro de todos os arquivos listados. Depois ele cria uma lista de URLs à partir do sub-diretório "C:\Windows\Temporary Internet Files" do usuário e cria um outro arquivo chamado $4135.dat, também numa pasta windows. Este arquivo também encriptado, desta vez subtraíndo 5 de cada caracter ASCII. Se o usuário possui o software cliente do AOL instalado em seu sistema o programa também olha o subdiretório "C:\AOL\IDB\MAIN.IDX" contendo arquivos de cache com username e senha, presumindo-se, para enviar para o autor do programa. A próxima vez que MANAGER.EXE é executado ele tenta enviar os arquivos $2321.dat e $4135.dat para um endereço de email na China. Cura A detecção para este "Cavalo de Tróia" pode ser feita através de nossos produtos. O McAfee Labs recomenda que você apague o "Cavalo de Tróia" para removê-lo de seu sistema.