TheFly

The_Fly

Se este aviso do ActiveX não for aprovado, será exibida outra janela para aprovar o
aviso.

Apenas quando o aviso ActiveX é aprovado, o worm consegue se propagar. Depois
de aprovado, o worm exibe a imagem a seguir:

Detectado como:
The_Fly
Apelidos:
CommonSence.Worm, HTML_The_Fly
Tamanho da Infecção:
22.074 bytes
Probabilidade:
Raro
Detectado em:
23 de dezembro de 1999
Palavras-chave:
Arquivo de ajuda em HTML (CHM) compilado,
Javascript, Outlook, mIRC, Pirch, Worm

Descrição

O CommonSence.Worm é um worm que se espalha através de Microsoft Outlook,
mIRC e Pirch. Este worm nunca foi encontrado em outro ambiente. O mesmo autor
de VBS.BubbleBoy, que supostamente reside na Argentina, parece ter escrito este
worm.

O worm se espalha como um arquivo de ajuda compilado em HTML
(THE_FLY.CHM) com Javascript embutido. Quando executado, o worm aparecerá
com um aviso ActiveX. É preciso aprovar o aviso ou o worm não será propagado.

O worm enviará um e-mail para cada endereço de e-mail no seu Catálogo de
Endereços do Microsoft Outlook com um worm anexado. Ele também se espalha
através de IRC, se você estiver usando mIRC ou Pirch.

O worm acrescentará a chave do registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\JavaScript VM

e cria o arquivo MSJSVM.JS no diretório Sistema do Windows, SCRIPT.INI no
diretório mIRC e EVENTS.INI no diretório de programa Pirch. O worm também é
copiado no diretório \Windows como THE_FLY.CHM e no diretório Sistema do
\Windows como DXGFXB3D.DLL.

Descrição Técnica

Ao executar o worm, você receberá um aviso ActiveX.

Se este aviso do ActiveX não for aprovado, será exibida outra janela para aprovar o
aviso.

Apenas quando o aviso ActiveX é aprovado, o worm consegue se propagar. Depois
de aprovado, o worm exibe a imagem a seguir:

O worm também copia a si próprio no diretório \Windows como THE_FLY.CHM e
no diretório Sistema do Windows como DXGFXB3D.DLL. Em seguida, o worm
cria um novo arquivo no diretório Sistema do Windows chamado MSJSVM.JS e
acrescenta a chave de registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\JavaScript VM

Se o Microsoft Outlook estiver instalado, o worm será repetido em todos os
endereços de e-mail no Catálogo de Endereços. Uma nova mensagem de e-mail é
enviada para todos esses endereços. O Assunto da mensagem é definido como:

Funny thing

e o corpo é:

If you ride a motorcycle, close your mouth :)

O worm anexa-se ao final da mensagem (como visto abaixo):

Na próxima vez em que o Microsoft Windows for iniciado, o arquivo JavaScript
MSJSVM.JS será executado. O worm pesquisa no seu computador instalações de
mIRC ou Pirch. Se encontrar, o worm cria o arquivo SCRIPT.INI ou
EVENTS.INI, respectivamente. Estes arquivos fazem com que alguém, sem
perceber, transfira o worm para qualquer usuário de IRC que entre no canal em que
você reside quando usa o IRC.

Finalmente, se o minuto atual for 30 ou se os arquivos THE_FLY.CHM e
DXGFXB3D.DLL forem removidos, o vírus exibe a caixa de diálogo:

Notas de Correção

Os arquivos detectados, THE_FLY.CHM, MSJSVM.JS e DXGFXB3D.DLL,
devem ser excluídos. Os arquivos SCRIPT.INI e EVENTS.INI devem ser excluídos
e substituídos por backups limpos se necessário.

A chave do registro

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\JavaScript VM

deve ser removida.