Дождливое лето 2000 года — благоприятная почва для размножения Интернет-червей!

«Лаборатория Касперского» сообщает об обнаружении в «диком виде» нового Интернет-червя «I-Worm.Scrapworm» (в сообщениях других антивирусных компаний он фигурирует под именем «Stages»), распространяющегося в основном через электронную почту с помощью MS Outlook. Помимо этого, данный червь имеет способность распространяться и по каналам IRC, используя mIRC или Pirch.

Другие имена этого червя:

IRC/Stages.worm, IRC/Stages.ini, LIFE_STAGES.TXT.SHS, ShellScrap Worm, VBS/LifeStages, VBS/Stages.14558, VBS/Stages.2542, VBS/Stages.worm, VBS_STAGES

Автор вируса — злоумышленник по имени ZULU, выложил свое творение «I-Worm.Scrapworm» на авторском сайте на прошлой неделе. Через несколько дней этот червь был обнаружен в «диком виде» практически во всех странах мира. Изначально казавшийся безобидным, при распространении червь показал, насколько он опасен.

Общая характеристика:

Через электронную почту вирус посылает сообщение, тема которого комбинируется из следующих наборов строк [S1]+[S2]+[S3]:

S1 : «FW: «, «»
S2 : «Life stages», «Funny», «Jokes»
S3 : » text», «»

Например:

«Funny»
«FW: Jokes text»
«Life stages»

Адрес отправителя указывается в поле BCC (невидимая копия). Тело сообщения может иметь три варианта:

1: пустое
2: «The male and female stages of life.»
3: «The male and female stages of life. Bye.»
Сам вирус присоединен к письму как файл с именем:
«LIFE_STAGES.TXT.SHS».

Деструктивные действия:

При запуске червь создает на диске во временном каталоге файл «LIFE_STAGES.txt» и отображает его содержимое при помощи текстового редактора. Текст содержит длинный и забавный (по мнению автора вируса) текст об этапах жизни мужчин и женщин:

— The male stages of life:

Age. Seduction lines.
17 My parents are away for the weekend.
25 My girlfriend is away for the weekend.
35 My fiancee is away for the weekend.
48 My wife is away for the weekend.
66 My second wife is dead.

Age. Favorite sport.
17 Sex.
25 Sex.
35 Sex.
48 Sex.
66 Napping.

Age. Definiton of a successful date.
17 Tongue.
25 Breakfast.
35 She didn’t set back my therapy.
48 I didn’t have to meet her kids.
66 Got home alive.

— The female stages of life:

Age. Favourite fantasy.
17 Tall, dark and hansome.
25 Tall, dark and hansome with money.
35 Tall, dark and hansome with money and a brain.
48 A man with hair.
66 A man.

Age. Ideal date.
17 He offers to pay.
25 He pays.
35 He cooks breakfast next morning.
48 He cooks breakfast next morning for the kids.
66 He can chew his breakfast.

Одновременно с этим червь создает свои копии под случайным именем на локальных и подключенных сетевых дисках. Далее вирус перемещает regedit.exe в корзину и при этом изменяет его имя на recycled.vxd.

Процедуры обнаружения и лечения червя «I-Worm.Scrapworm» добавлены в очередное обновление антивирусной базы AntiViral Toolkit Pro (AVP). Обновление доступно на WWW сайте «Лаборатории Касперского» по адресу www.kaspersky.ru.

Технические детали