VBS.Stages.A
Este worm aparece como um anexo com o nome de LIFE_STAGES.TXT.SHS. A execução deste anexo irá abrir um arquivo de texto no Bloco de Notas, exibindo os estágios feminino e masculino da vida. Enquanto o usuário está lendo o arquivo de texto o script é executado em segundo plano. Este worm se espalha sozinho usando o Outlook, ICQ, mIRC e PIRCH.
Também conhecido como: IRC/Stages.worm, Life_Stages
Worm
Categoria: Worm
Danos
Gatilho: Execução do anexo LIFE_STAGES.TXT.SHS
Carga:
E-mails em grande escala: Envia e-mails para todo o catálogo de
endereços do MS Outlook
Arquivos modificados: Registro do Sistema, Regedit.exe
Causa instabilidades no sistema: Pode sobrecarregar os servidores
de
e-mail
Distribuição
Assunto do e-mail: Existem 12 possibilidades para o assunto de e-mail
Nome do anexo: LIFE_STAGES.TXT.SHS
Tamanho do anexo: 39,936 bytes
Unidades compartilhadas: Copia a si mesmo para todas as unidades
mapeadas
Descrição técnica:
Um arquivo SHS é um arquivo Microsoft Scrap Object (Objeto
Recorte da
Microsoft). Este tipo de arquivo é um executável e pode conter
uma grande variedade
de objetos. A extensão do objeto recorte (SHS) não aparece no
Windows Explorer,
mesmo se as extensões para todos os tipos de arquivo estiverem
sendo exibidas.
Depois de executar este worm, seu sistema é modificado
de várias maneiras:
SCANREG.VBS, VBASET.OLB E MSINFO16.TLB são criados no
diretório \WINDOWS\SYSTEM.
A chave de registro
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/ScanReg
é adicionada para executar o arquivo SCANREG.VBS ao iniciar o
Windows.
LIFE_STAGES.TXT.SHS é criado no diretório \WINDOWS.
Um arquivo nomeado aleatoriamente no formato Rand1+Rand2+Rand3.txt.shs
onde Rand1 = IMPORTANT, INFO, REPORT, SECRET, ou UNKNOWN
e Rand2 = - ou _ e Rand3 = um número aleatório entre 1 e 1000.
Ele é criado
dentro do diretório raiz de todas as unidades mapeadas, dentro
de \Meus
Documentos e de \WINDOWS\START MENU\PROGRAMS. Por exemplo,
report_439.txt.shs ou IMPORTANT-707.TXT.SHS.
O arquivo regedit.exe é movido para a Lixeira (Recycle Bin) como
um arquivo
de sistema oculto chamado RECYCLED.VXD.
MSRCYCLD.DAT, RCYCLDBN.DAT e DBINDEX.VBS são criados
dentro da Lixeira (Recycled Bin) como arquivos de sistema ocultos.
MSRYCLD.DAT é uma cópia do arquivo SHS original. RCYCLDBN.DAT
é
uma cópia do arquivo SCANREG.VBS. DBINDEX.VBS é configurado
para
ser executado quando o ICQ é iniciado.
O script para o mIRC é modificado para chamar o arquivo SOUND32B.DLL,
que faz com que o worm se espalhe através do mIRC e do PIRCH.
O worm envia um e-mail para os endereços listados no seu Catálogo
de Endereços
do MS Outlook. O e-mail contém o anexo LIFE_STAGES.TXT.SHS. O
assunto do
e-mail é aleatoriamente gerado e pode ser uma entre doze linhas.
Ele pode ou não
iniciar com "Fw:". Ele irá conter "Life stages",
"Funny" ou "Jokes" e pode ou não ser
seguido de "text". Os exemplos podem ser "Fw: Life
stages", "Jokes text" ou "Fw:
Funny text". O worm apaga imediatamente as cópias dos e-mails
depois de tê-los
enviado, para assegurar de que não existirão registros de sua
presença.
Remoção:
Você deve apagar todos os arquivos .txt.shs de seu sistema.
Apague também os
arquivos SCANREG.VBS, VBASET.OLB e MSINFO16.TLB do diretório
\WINDOWS\SYSTEM. Você vai precisar restaurar o registro usando o
regedit.
Para fazer isto, primeiro abra um prompt do MS-DOS e vá para o
diretório
\RECYCLED. Usando o comando attrib, modifique as configurações
dos arquivos
que o worm criou ali. O comando deve ser attrib -hsr recycled.vxd
e assim por
diante para cada um desses arquivos. Copie RECYCLED.VXD como
\WINDOWS\REGEDIT.EXE e então apague os 4 arquivos que você
modificou.
Usando o regedit faça as seguintes modificações
no registro:
Apague o valor HKLM/Software/Microsoft/Windows/RunServices/Scanreg.
Apague os valores Enable, Parameters, Path e StartUp na chave
HKEY_USERS/.Default/Software/Mirabilis/ ICQ/Agent/Apps/ICQ
Apague o valor
HKLM/Software/Microsoft/Windows/CurrentVersion/OSName.
Modifique o valor para HKCR/regfile/DefaultIcon substituindo
C:\RECYCLED\RECYCLED.VXD com C:\WINDOWS\REGEDIT.EXE.
Modifique o valor para HKCR/regfile/shell/open/command
substituindo
C:\RECYCLED\RECYCLED.VXD com C:\WINDOWS\REGEDIT.EXE.
Modifique o valor para
HKLM/Software/CLASSES/regfile/shell/open/command substituindo
C:\RECYCLED\RECYCLED.VXD com C:\WINDOWS\REGEDIT.EXE.
Modifique o valor para HKLM/Software/CLASSES/regfile/DefaultIcon
by
substituindo C:\RECYCLED\RECYCLED.VXD com
C:\WINDOWS\REGEDIT.EXE.
Escrito por: Brian Ewell
Atualizado em: 16 de Junho de 2000 11:29:50 AM PST