VBS.Stages.A |
Alias: | IRC/Stages.worm, Life_Stages Worm, VBS_Stages.A |
Questo worm si presenta come un allegato ad un messaggio di posta con queste caratteristiche:
Aprendo il file si apre Blocco note con la descrizione degli stati della vita
della donne.
Quando il file è aperto viene caricato in background. uno script.
Il worm si espande usando Outlook, ICQ, mIRC, and PIRCH
Nota: i file .shs sono Microsoft Scrap Object, si tratta di file
eseguibili e possono contenere una grande varietà di oggetti.
L'estensione di questi oggetti non viene visualizzata anche se dentro Esplora
Risorse è impostata la visualizzazione di tutti i file.
Se il virus è stato eseguito il sistema viene modificato come segue:
- Vengono creati i seguenti file nella cartella Windows\System
Scanreg.vbs
Vbaset.olb
Msinfo16.tlb
- Il valore Scanreg.vbs viene aggiunto alla seguente chiave di registro
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Ciò permette di fare partire il worm al successivo riavvio di Windows.
- Il file Life_Stages.txt.shs è creato nella cartella \Windows
-Un file il cui nome è casuale viene inserito nelle seguenti cartelle:
La directory radice di tutti i dischi mappati
La cartella Documenti
La cartella \Windows\Avvio\Programmi
Il nome casuale è creato usando il formato Casuale1+Casuale2+Casuale
3.txt.shs dove
Casuale 1=Important, Info, Report, Secret, or Unknown
Casuale 2= - or _ (Hyphen or underscore)
Casuale 3= un numero casuale da 1 a 1000
Per esempio Report_439.txt.shs or Important-707.txt.shs.
- Il file Regedit.exe viene spostato nel cestino come file nascosto.
- I file seguenti vengono inseriti nel Cestiono come file nascosti e di
sistema
Msrcycld.dat
Rcycldbn.dat
Dbindex.vbs
- Msrycld.dat è una copia del file .shs originale Rcycldbn.dat è una
copia
del file Scanreg.vbs
Il file Dbindex.vbs viene impostato per essere caricato all'avvio di ICQ
.Lo script per mIRC viene modificato per chiamare il file Sound32b.dll
file, è permettere l'espansione tramite mIRC e PIRCH.
Rimozione:
Per informazioni sulla rimozione manuale consultare il documento alla pagina:
http://web.tiscalinet.it/profvir/techsupp/rimozione.vbs.stages.a.htm
Per la rimozione automatica scaricare il file fixlife.exe all'indirizzo:
http://www.symantec.com/avcenter/venc/data/fix.vbs.stages.html