CTT – MaxwellDisciplina de Introdução à Informática - Prof. Marcelo OLiveira

VírusCaracterísticas

Fonte: http://www.superdicas.com.br/va/

Tabela dos Tipos de Vírus Mais FreqüentesTipo de Vírus Método de Infecção Vírus Mais Conhecidos Como se Evitar tal Vírus

Vírus de BootA partir de um boot feito com

um disquete contaminado, que tenha sido deixado no

drive A:

AntiCMOSAntiEXEForm.A

Leandro & KellyNYB (New York Boot)

RipperSatria.A

Stealth_CStoned

Michelangelo

Use um anti-vírus com um detector de ação de vírus;

Não deixe disquetes no drive A:;

Altere o SETUP para o micro dar boot na seqüência C:, A:.

Vírus de Programa

Ao rodar um programa, do disco rígido ou de disquete,

que esteja contaminado.

Alevirus.1613Athens (Atenas)

FroDo.4096Junkie

JerusalemJoshi

Market.1533

Rode o antivírus sempre que receber um novo programa;

Use um antivírus com um detector de ação de vírus;

Nunca rode um programa compactado, sem antes checar a presença de vírus

dentro do arquivo compactado.

Vírus de Macro

Ao executar uma macro num Processador de Texto (do tipo Word, o mais comum

dos aplicativos atacado) ou mesmo apenas abrir um

documento que possua uma macro do tipo "Auto-Open".

MDMA.CBad BoyConcept

Hare.7610Helper

PathogenWazzu

Rode o antivírus sempre que receber um novo documento (principalmente se for

do tipo Word);

Use um anti-vírus com um detector, residente na memória, de ação de vírus;

Sempre cheque TODOS OS ARQUIVOS de qualquer disquete recebido (ou E-mail ou

Download pela Internet).

Vírus Multipartite

A partir de um boot feito com um disquete contaminado no

drive A:,

ou ao rodar um programa que esteja contaminado.

One HalfJunkieNatas

Parity BootVCL

Faça como apontado nas opções Vírus de Boot e Vírus de Programa, já que este tipo

de vírus ataca de qualquer uma dessas duas maneiras.

Tipos de Vírus e Suas Características PrincipaisVírus de BOOT (Vírus de Setor de Boot):Vírus de Boot são o tipo de vírus mais comum entre todos os vírus existentes no mundo. Tudo que é preciso para se infectar com este tipo é simplesmente esquecer um disquete contaminado dentro do drive A:. Esse disquete não precisa ser do tipo que dá boot, na verdade quando você ver a mensagem que o disco está sem sistema já é tarde demais, seu micro já está contaminado.Para contrabalançar, os vírus de Boot são os mais fáceis de detectar, e eliminar.

Vírus de Programa:Vírus de Programa existem aos milhares, e infectam - normalmente - os arquivos com extensão .EXE e .COM. Alguns contaminam arquivos com outras extensões, tais como .OVL e .DLL, que na verdade são executáveis, mas de um tipo um pouco diferente.Os mais bem escritos dentre os vírus de Programa se replicam, contaminando outros arquivos, de maneira silenciosa, sem jamais interferir com a execução dos programas que estão contaminados. Assim os usuários não vêm nenhum sinal exterior do que está acontecendo em seu micro.Alguns dos vírus de Programa vão se reproduzindo até que uma determinada data, ou conjunto de fatores, seja alcançado. Aí começa o que importa: eles destroem algo em seu micro.Muito embora os vírus de Programa não sejam muito difíceis de se pegar, os danos que esses tipos de vírus causam são, muitas vezes, de impossível recuperação, já que pedaços inteiros dos programas acabam corrompidos pelos vírus. Assim sendo em geral a única alternativa é de reinstalar os aplicativos contaminados desde os discos originais, e reconfigurá-los novamente.

Vírus Multipartite:Os vírus deste tipo são, na verdade, uma mistura dos tipos de Boot e de Programas. Eles infectam ambos: arquivos de programas e setores de boot, o que os tornam muito mais eficazes na tarefa de se espalhar, contaminando outros arquivos e/ou discos, mas também mais difíceis de serem detectados e removidos.Devido à imensa disputa entre os que escrevem os vírus, e as empresas que vivem de ganhar dinheiro, muito dinheiro, à caças de suas obras, cada vez mais têm aparecido vírus que tentam ficar cada vez mais camuflados, de tal sorte a poderem passar despercebidos para os produtos anti-vírus. Assim apareceram os vírus denominados vírus polimórficos, cuja principal característica é de estarem sempre em mutação.Essa permanente mutação tem como objetivo alterar o código do próprio vírus, dificultando sobremaneira a ação dos anti-vírus, que em geral caçam os vírus através de uma assinatura digital, que sabem ser parte integrante de um dado vírus. Nesses casos, como o código do vírus se altera a cada infecção, dificilmente os programas anti-vírus menos atualizados reconhecerão as novas formas dos velhos vírus.

Vírus Stealth (Vírus Invisíveis):Mais uma variação sobre o mesmo tema, desta vez os vírus que trazem a característica de "stealth" tem a capacidade de, entre outras coisas, temporariamente se auto remover da memória, para escapar da ação dos programas anti-vírus.Note bem: os vírus do tipo polimórfico ou do tipo stealth são, na verdade, espécimes que se enquadram num dos tipos acima descritos, sendo estes adjetivos utilizados para descrever capacidades adicionadas aos mesmos, para que sejam os mais discretos possíveis, impedindo tanto quanto possível a sua detecção pelos programas anti-vírus.» Leia mais sobre vírus polimórficos neste artigo

Bom, como podemos observar lendo todos os detalhes acima citados, todos os vírus eram programas que se alojavam em outros programas, de tal sorte que podíamos garantir não haver possibilidade de um vírus ser achado a não ser dentro de um programa executável.É uma pena, mas desde meados de 1995 isto não é mais tão simples assim. Naquele ano surgiu o vírus Concept, que finalmente deu salto quântico na tecnologia de construção de vírus, já que agora o vírus se tornou um conjunto de macros (comandos de programação interna) que são executadas de dentro de documentos do programa Word, através da macro AutoOpen, que é uma macro que sempre se auto-executa a cada abertura do documento (pelo programa Word).Embora tal vírus não seja destrutivo, a ele se seguiram outros, que passaram a ser chamados de Vírus de Macro, e que podem causar grandes estragos aos documentos e a outros arquivos do disco.Para completar, em 1996 surgiu o primeiro, e ainda parece que o único, vírus que se aloja em planilhas do Excel, o Vírus Laroux, embora não tenha conhecimento de ataques deste vírus no Brasil.

Como Agem os Anti-VírusVeja também quais são os principais produtos anti-vírusOs programas anti-vírus agem, principalmente, lançando mão de 4 formas diferentes, para conseguir detectar o máximo de vírus possível. Abaixo resumimos - de forma bem resumida - esses métodos.

Escaneamento de vírus conhecidosEste é o método mais antigo, e ainda hoje um dos principais métodos utilizados por todos os programas anti-vírus do mercado.Envolve o escaneamento em busca de vírus já conhecidos, isto é aqueles vírus que já são conhecidos das empresas de anti-vírus.Uma vez que as empresas recebem uma amostra de um vírus eles o desassemblam para que seja separada uma string (um grupo de caracteres seqüenciais) dentro do código viral que só seja encontrada nesse vírus, e em nenhum programa normal à venda no mundo. Essa string, uma espécie de impressão digital do vírus, passa a ser distribuída semanalmente pelos fabricantes, dentro de suas vacinas.O "engine" do anti-vírus usa esse verdadeiro banco-de-dados de strings para ler cada arquivo do disco, um a um, do mesmo modo que o sistema operacional lê cada arquivo para carregá-lo na memória e/ou executá-lo. Se ele encontrar alguma das strings, identificadoras de vírus, o anti-vírus envia um alerta para o usuário, informando da existência do vírus.

Esse método não pode, entretanto, ser o único que o anti-vírus deva utilizar. Confiar apenas no conhecimento de vírus passados, pode ser pouco, deixando o usuário totalmente à descoberto quanto a novos vírus. Assim os fabricantes de anti-vírus passaram a utilizar de métodos adicionais, que permitissem detectar vírus novos, onde o escaneamento citado neste tópico não está ainda disponível.

Sensoreamento HeurísticoOs programas anti-vírus agora lançam mão do sensoreamento heurístico, isto é, a análise do código de cada programa que esteja sendo executado em memória (lembrete: todos os programas são executados em memória RAM!), ou quando um escaneamento sob demanda for solicitado pelo usuário. O "engine" varre os programas em busca de códigos assembler que indicam uma instrução que não deva ser executada por programas normais, mas que um vírus pode executar.Um exemplo seria a descoberta de uma instrução dentro de um arquivo que faça uma chamada para a gravação dentro de um arquivo executável.Este é um processo muito complexo, e sujeito a erros, pois algumas vezes um executável precisa gravar sobre ele mesmo, ou sobre outro arquivo, dentro de um processo de reconfiguração, por exemplo. O próprio programa anti-vírus deve pesar muito bem o risco/autenticidade desse tipo de instrução, antes de soar o alarme. Além disso, ou por culpa disso, o usuário deve compreender que em algumas situações poderá receber falsos alarmes - o que no jargão do mercado é chamado de FALSO POSITIVO (um aviso de vírus é dado, mas ele na verdade é falso - isto é: não é verdadeiro).

Os anti-vírus devem monitorar constantemente as operações que são executadas a cada instante no computador, visualizando acessos a arquivos e sinais de atividades suspeitas, tal como um arquivo tentando se auto-copiar em outros arquivos.Embora sujeitas a erros, como aliás nós ficamos quando vemos uma pessoa desconhecida se aproximar de uma criança. Como avaliar com certeza se essa pessoa tem ou não boas intenções nesse acesso à criança?

Busca AlgorítmicaAlguns programas anti-vírus usam uma tática diferente das anteriores, através da aplicação de algoritmos descritos em suas vacinas.Vamos dar um exemplo. A busca à string 0A071A20 para detectar um vírus fictício:

SE este é arquivo de extensão COME SE ele tem mais de 900 bytesE SE há uma instrução de salto para 597 bytes antes do final do arquivoE SE a string 0A071A20 aparece nesta localizaçãoENTÃO abra uma janela de alerta "Vírus XXYYZZ.597 foi encontrado"

Esse método é mais eficaz que o primeiro método, porém leva a um código muito maior para as vacinas e engines, além de consumir maior tempo para escanear todo o computador.

Checagem de IntegridadeAlém dos métodos de escaneamento existem outras técnicas possíveis, tal como a técnica de checagem de integridade. Essa técnica cria um banco-de-dados, com o registro dos dígitos verificadores para cada arquivo existente no disco, que é salvo no disco para comparações posteriores.Mais tarde, quando executada novamente esta checagem, o banco-de-dados é utilizado para conferir que nenhuma alteração, nem mesmo de um único byte, seja encontrada. Em se encontrando algum arquivo que o novo digito verificador não bata com o gravado anteriormente, é dado o alarme da possível existência de um arquivo contaminado.

Obviamente o usuário deverá aquilatar se o real motivo dessa alteração seja devido a uma atividade suspeita, ou se foi causada simplesmente por uma nova configuração, efetuada recentemente, e portanto legítima.

Todos esses métodos têm bom e maus pontos de vista. Para bloquear qualquer possibilidade de atividade de vírus, os programas de anti-vírus têm de fazer seu computador até mesmo inconveniente de utilizar.Mesmo assim você ainda não terá NUNCA a certeza absoluta da garantia da segurança 100%.Além disso os vírus, e seus companheiros trojans e worms, não são a única explicação das causas de perdas de dados e/ou programas em seu micro. Assim é ESSENCIAL que você utilize freqüentemente - se possível diariamente - um bom programa de backup. A única maneira de você poder ter seus arquivos de volta, com certeza mesmo.

Vírus mais Atuantes; 1 BugBear2 Klez3 LovSan4 Yaha5 SoBig6 MiMail 7 Parite8 Sircam9 FunLove10 Nimda

Nome do Vírus Vírus do tipo Origem Data de AtaqueW32/BugBear.B@mm POLIMÓRFICO desconhecida qualquer diaDescrição Resumida:O W32/BugBear.B pode ser chamado de supervírus, pois realiza múltiplas ações, e se comporta com diversos tipos de vírus diferentes. Ele é um mass-mailer (envia e-mails em massa), um worm de rede local, um keylogger (que fica gravando os toques do teclado para descobrir senhas e logins), um trojan tipo back- door (à espera de contato do hacker para repassar informações coletadas do sistema), um vírus infectante de arquivos (do tipo Polimórfico, que altera seu código a cad ação), e um terminador de arquivos de segurança (encerra a execução de anti-vírus e de firewalls). É um portanto um supervírus, com código viral bastante complexo. Ele se dissemina primariamente por e-mail, vindo como um anexo de tamanho 72.192 bytes, que é executado através de um duplo clique, ou automaticamente nos sistemas que não foram atualizados para barrar a falha de segurança, conhecida como "Incorrect Mime Header", já definida e corrigida pela Microsoft em seu Security Bulletin MS01-020, no ano de 2001.

Nome do Vírus Vírus do tipo Origem Data de AtaqueW32/Klez.C WORM China 13 dos meses ímparesDescrição Resumida:W32/Klez.C é um worm desenhado para se disseminar através de correio eletrônico. As mensagens enviadas podem ter assuntos diversos enquanto os anexos são gerados com um nome aleatório. Uma vez que o worm seja executado, W32/Klez.C cria um arquivo no diretório Windows.Adicionalmente, este worm incorpora um vírus polimórfico, denominado W32/Elkern, que busca arquivos executáveis no computador infectado para proceder com sua infecção. Este vírus só funciona corretamente em computadores com o Windows versão 98 instalado.

O worm faz seus ataques nos dias 13 dos meses ímpares (janeiro, março, maio, julho, setembro e novembro), quando W32/Klez.C destrói todo o conteúdo das unidades locais e das mapeadas na rede local.

Nome do Vírus Vírus do tipo Origem Data de AtaqueW32/LovSan.worm WORM desconhecida 16-31/08; qualquer dia depoisDescrição Resumida:Um novo vírus, que começou a atacar em todo o mundo ontem à noite (a partir das 15h) está se disseminando com extrema rapidez, já estando no ataque no Brasil. O W32/Lovsan.worm é um arquivo com tamanho de 6.176 bytes que explora uma novíssima vulnerabilidade dos Windows da linha NT (NT, 2000 e XP), descrita no Security Bulletin MS03-026 da Microsoft, e denominada DCOM RPC Vulnerability.

Sua ação é executada através do escaneamento de micros com a porta TCP 135 aberta, ele cria um "shell" remoto na porta TCP 4444. Ele cria duas chaves no Registro do Windows, que acesam o próprio worm, na forma do arquivo MSBLAST.EXE que fica gravado na pasta System32.

As chaves são: » HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \Run"windows auto update" = msblast.exe » HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \Run"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

A forma mais fácil de reconhecer a presença dessa praga é a visualização de uma janela com o título "Desligamento do Sistema" informando que o sistema será desligado em 60 segundos, devido a uma chamada de Procedimento Remoto (RPC) terminar de forma inesperada.

A presença do arquivo MSBLAST.EXE e as duas chaves dentro de \HKEY_CURRENT_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run que referenciam tal arquivo., também denunciam a presença dessa praga.

O worm se espalha através da vulnerabilidade citada, escaneando faixas randômicas de IPs pela porta 135. O código do "exploit" é enviado às máquinas-alvo instruindo-as a baixar e executar o arquivo MSBLAST.EXE num sistema remoto, via TFTP. O worm LoveSan contém um ataque programado de DoS (Denial of Service) contra o site WindowsUpdate.com, que está programado para ocorrer entre o dia 16 e 31 de agosto, e a partir de setembro em qualquer dia do mês. Para remover esta praga baixe a Vacina Especial STINGER

Nome do Vírus Vírus do tipo Origem Data de AtaqueW32/YAHA.E@mm WORM desconhecida qualquer dataDescrição Resumida:O worm YAHA pertence a uma família que possui diferentes métodos de ataque e disseminação. Esta versão tem diferentes nomes (principalmente variando a letra utilizada para complementar e identificar a variante) entre as empresas fabricantes de Anti-Vírus:

o nome Yaha.E é usada por Sophos e Trend, o nome Yaha.F é usado pela Symantec, assim como pela Panda, embora ela utilize um nome diferente (Lentin.E). E o nome Yaha.G é usado pela NAI. Além da confusão com os nomes, há também divergências quanto ao tamanho dos anexos virais, variando entre 29.839 e 29.948 passando por 29.369 bytes na primeira amostra recebida pelo site VÍRUS ALERTA.

A disseminação deste worm está aumentando continuadamente, muito embora as mensagens recebidas estejam em Inglês, o que mostra a compulsão das pessoas em abrir e/ou executar qualquer bobagem que recebam por e-mail.

O worm Yaha.G (E ou F) se auto-envia para todos os endereços de e-mail que sejam encontrados nas seguintes fontes:Windows Address Book, ICQ List, Yahoo List e MSN Messenger List. Além dessas fontes óbvias, ele também se envia para todos os endereços de e-mail que encontra nas páginas web visitadas pelo usuário da máquina contaminada. Ele faz isso procurando por quaisquer arquivos que tenham a extensão começando pelas letras HT (HTM e HTML).

Nome do Vírus Vírus do tipo Origem Data de AtaqueW32/Palyh@MM WORM desconhecida qualquer dia até 31/05/2003Descrição Resumida:Este ameaça é conhecida pelo nome de W32/Palyh, mas também por W32.HLLW.Mankx@mm, ele também está sendo chamado de Sobig.B, devido a algumas semelhanças com a atuação do vírus W32/Sobig@MM. W32/Palyh ou W32.HLLW.Mankx@mm chega por um arquivo executável anexado a mensagens eletrônicas com uma variedade de assuntos e textos. Todas as mensagens que contém o vírus chegam com o mesmo remetente: support@microsoft.com.

As características das mensagens enviadas são as seguintes:Campo From: support@microsoft.com

Campo Subject: (qualquer uma das alternativas abaixo)Approved (Ref: 38446-263), Cool screensaver, Re: Approved (Ref: 3394-65467), Re: Movie, Re: My application, Re: My details, Screensaver, Your details ou Your password

Corpo da Mensagem:All information is in the attached file.

Anexo: (qualquer uma das alternativas abaixo)application.pif, approved.pif, doc_details.pif, movie28.pif, password.pif, ref-394755.pif, screen_doc.pif, screen_temp.pif ou your_details.pif

Nome do Vírus Vírus do tipo Origem Data de AtaqueW32/Mimail.c WORM desconhecida qualquer diaDescrição Resumida:Este worm foi distribuído num esquema de spam (mass mailing), e contém um arquivo de nome undelivered.hta que cria o arquivo mware.exe que é o código viral do Mimail.C. Quando esse arquivo hta é executado aparece a mensagem "Your message will be sent again in 1 hour. If it doesn´t arrive - we will delete it from queue."

O worm Mimail.C se espalha como um arquivo .ZIP - com um tamanho de 12.958 bytes - e executa um ataque de Negação de Serviço e rouba informações da máquina infectada.

Esta versão, embora tenha muitas similaridades com a versão original do Mimail, não explora as falhas "Codebase" e "MHTML", já corrigidas pela Microsoft através dos documentos MS02-015 e MS03-014 respectivamente.

Um resumo das características desse worm são indicadas abaixo: 1. Contém seu próprio mecanismo de envio de mensagens (SMTP);2. Se envia com um arquivo .ZIP anexado às mensagens;3. Coleta endereços de e-mail existentes na máquina contaminada;4. Captura informações e envia-as por e-mail para 4 endereços;

Nome do Vírus Vírus do tipo Origem Data de AtaqueW32/Parite WORM desconhecida qualquer diaDescrição Resumida:Este é um vírus enfector de arquivos, encriptado, e um worm que se espalha por rede local. Ele se anexa a arquivos do Windows, do tipo PE e SCR, existentes na pasta Windows e seus sub- diretórios, assim como em qualquer compartilhamento de rede que esteja acessível. O vírus Parite cria uma seção PE adicional, usando um header composto de três caracteres randômicos e seguido pelo caracter "•".

O vírus cria a seguinte chave no Registro do Windows: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Explorer \PINF

Indicação de Infecção: - Aumento no tamanho dos arquivos em aproximadamente 177 KB - Presença da chave no Registro do Windows

Método de Infecção: O vírus cria um arquivo, compactado pelo UPX, na pasta WINDOWS\TEMP e executa-o. Este arquivo tem um tamanho de 176.128 bytes, com um nome ranômico e uma extensão .TMP. O vírus busca em todos os compartilhamentos das redes locais e infecta todos os arquivos com extensão .EXE (PE) e .SCR aos quais ele consiga permissão de escrita.

Nome do Vírus Vírus do tipo Origem Data de AtaqueW32/SirCam WORM México qualquer diaDescrição Resumida:O worm W32.Sircam.A, que se espalha por e-mail e também pelos compartilhamentos abertos das redes locais. Com um motor próprio para envio de e-mail, a principal característica do Sircam é sua rápida propagação, tanto inicialmente através da rede mundial, quanto em seguida,pela rede local das empresas contaminadas. O worm chega num e-mail cujo assunto pode variar, mas traz uma breve mensagem, em inglês ou em espanhol, que diz ao destinatário algo como o seguinte: “Olá, como vai? Envio-lhe este arquivo para obter seu conselho”. Ou, então, “Espero que você possa me ajudar com este arquivo”. Ou, ainda, “Este é o arquivo com a informação que você pediu”.

O arquivo anexo, é composto por dois arquivos diferentes: um é o arquivo original, em geral DOC, XLS ou ZIP, o outro SirC32.exe, é o próprio vírus. Se executado, ele faz uma cópia de si mesmo no diretório de sistema com o nome Scam32.exe e armazena o arquivo original na lixeira. O worm contém recursos de SMTP próprios, que são usados para enviar e-mails a todos os endereços existentes na lista de contatos do Windows. A Symantec descreve ainda um comportamento destrutivo do invasor que ainda não foi confirmado por seus concorrentes. Segundo a empresa, há uma probabilidade de 5% do vírus apagar todo o conteúdo do drive C (incluindo diretórios e arquivos) na dia 16 de outubro de qualquer ano. Isso só acontece em máquinas cujas datas no Windows estejam configuradas para o padrão d/m/a - tal como ocorre no país de origem, o México, quanto no Brasil.

Nome do Vírus Vírus do tipo Origem Data de AtaqueW32/FunLove.4099 WORM desconhecida qualquer diaDescrição Resumida:O W32.FunLove.4099 é um vírus que se replica através de rede local em sistemas Windows 95/98/ME e Windows NT/2000. Esse vírus infecta aplicativos com extensões EXE, SCR ou OCX. O que é notável nesse vírus é que ele usa uma nova estratégia para atacar o sistema de segurança de arquivos do Windows NT e é executado como um serviço nos sistemas Windows NT. Os aplicativos infectados pelo W32.FunLove.4099 inserem o arquivo flcss.exe no diretório de Sistema do Windows durante a execução dos sistemas Windows NT e Windows 95/98. Uma outra característica especial desse vírus, é que ele não infecta arquivos cujos nomes iniciam com os seguintes caracteres: aler / amon / avp / avp3 / avpm / f-pr / navw / scan / smss / ddhe / dpla / mplaEsses são nomes de programas antivírus e de alguns outros aplicativos.

Como saber se o micro está contaminado:verifique a existência do arquivo FLCSS.EXE na pasta de Sistema do Windows.

Nome do Vírus Vírus do tipo Origem Data de AtaqueNIMDA WORM desconhecida qualquer diaDescrição Resumida:Esse worm tem um ataque muito rápido. Não está, ainda, claro se ele se utiliza do programa de e-mail MS Outlook, ou do Outlook Express para se disseminar, mas com certeza a contaminação numa rede local se inicia pelo recebimento de um e-mail, que vem com um anexo. Em geral, mas não sempre, esse anexo vem embutido como uma chamada para um arquivo de som (através da definição do arquivo como audio/x-wav, que contém um arquivo executável, também em geral com o nome de README.EXE). Nesses casos não é necessário nem mesmo uma ação do destinatário, pois esse tipo de arquivo de som é executado automaticamente dentro do Outlook e do Outlook Express. Atenção: não é executado nenhum som ou música, na verdade o arquivo é o código, do vírus, puro.Deve-se notar que embora os e-mails contaminados cheguem com diversos SUBJECTs (campo ASSUNTO) sendo que na maioria das vezes esse campo pode vir em branco ou com um trecho retirado de uma chave do REGISTRO do Windows, em geral não fazendo nenhum sentido para quem leia tal informação, o corpo dos e- mails vêm - aparentemente - em branco, isto é, não se vê nenhuma linha de texto no corpo do e-mail, e em geral o anexo vem com um ícone de um documento HTML do Internet Explorer.

À partir daí ele executa a segunda parte, referente à reprodução pela rede local e pela Internet.