VBS.Stages.A
Alias: IRC/Stages.worm, Life_Stages Worm, VBS_Stages.A

Questo worm si presenta come un allegato ad un messaggio di posta con queste caratteristiche:

Aprendo il file si apre Blocco note con la descrizione degli stati della vita della donne.
Quando il file è aperto viene caricato in background. uno script.
Il worm si espande usando Outlook, ICQ, mIRC, and PIRCH

Nota: i file .shs sono Microsoft Scrap Object, si tratta di file eseguibili e possono contenere una grande varietà di oggetti.
L'estensione di questi oggetti non viene visualizzata anche se dentro Esplora Risorse è impostata la visualizzazione di tutti i file.

Se il virus è stato eseguito il sistema viene modificato come segue:

- Vengono creati i seguenti file nella cartella Windows\System
   Scanreg.vbs
   Vbaset.olb
   Msinfo16.tlb

- Il valore Scanreg.vbs viene aggiunto alla seguente chiave di registro

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Ciò permette di fare partire il worm al successivo riavvio di Windows.

- Il file  Life_Stages.txt.shs è creato nella cartella \Windows

-Un file il cui nome è casuale viene inserito nelle seguenti cartelle:
La directory radice di tutti i dischi mappati
La cartella Documenti
La cartella \Windows\Avvio\Programmi
Il nome casuale è creato usando il formato Casuale1+Casuale2+Casuale
3.txt.shs dove
Casuale 1=Important, Info, Report, Secret, or Unknown
Casuale 2= - or _ (Hyphen or underscore)
Casuale 3= un numero casuale da 1 a 1000
Per esempio Report_439.txt.shs or Important-707.txt.shs.

- Il file Regedit.exe viene spostato nel cestino come file nascosto.

- I file seguenti vengono inseriti nel Cestiono come file nascosti e di
sistema

Msrcycld.dat
Rcycldbn.dat
Dbindex.vbs

- Msrycld.dat è una copia del file .shs originale  Rcycldbn.dat è una copia
del file Scanreg.vbs
Il file Dbindex.vbs viene impostato per essere caricato all'avvio di  ICQ
.Lo script per  mIRC viene modificato per chiamare il file Sound32b.dll
file, è permettere l'espansione tramite mIRC e  PIRCH.

Rimozione:

Per informazioni sulla rimozione manuale consultare il documento alla pagina:

http://web.tiscalinet.it/profvir/techsupp/rimozione.vbs.stages.a.htm

Per la rimozione automatica scaricare il file fixlife.exe all'indirizzo:

http://www.symantec.com/avcenter/venc/data/fix.vbs.stages.html