| VBS/STAGES.A
Tipo do Vírus: Worm
Características Usadas [ ] Encriptação [X] Invisibilidade [ ] Polimorfismo
PayLoad [X] Sim - [ ] Não Data de Ataque Não tem
Área de Ataque Windows 95 e 98 (IRC) Origem desconhecida
Características / Sinais de Infecção / Problemas que Acarreta
O VBS/STAGES.A é um worm que lança mão da invisibilidade dada pelo Windows
à um tipo muito específico de arquivos: os scraps ou arquivos de retalhos
- que têm a extensão SHS, protegida pelo Windows, o que significa que
esse tipo de extensão fica invisível, mesmo que o usuário setar a opção
MOSTRAR EXTENSÕES dentro do Windows.
O VBS/Stages.A é um worm multi-aplicação, se espalhando através de instalações
de Pirch, mIRC, MS-Outlook e também através de drives de rede local
(mapeados). Esse worm é distribuído por e-mail, no seguinte formato:
SUBJECT: "Fw:" ou "Life Stages" ou "Funny" ou "Jokes" ou "text" (qualquer
uma dessas opções, que são geradas aleatoriamente quando da distribuição
do e-mail contendo o código viral).
BODY: "The male and female stages of live."
ATTCHMENT: LIFE_STAGES.TXT.SHS (com um tamanho de 39.936 bytes, este
é um arquivo do tipo retalho - Shell Scrap Object)
A característica desse worm é o uso desse tipo de extensão, protegida
pelo Windows, que a oculta mesmo se configurada a opção de mostrar a
extensão dentro do próprio Windows. Assim para todos os usuários esse
anexo é tão somente um arquivo texto, com um nome de LIFE_STAGES.TXT,
e portanto considerado totalmente inofensivo. (veja abaixo como editar
o REGISTRO para poder visualizar a extensão SHS). Outra característica,
também bastante singular, é o uso da Lixeira para se esconder, e devido
à isso os usuários devem reconfigurar seus programas Anti-Vírus para
que examinem também a Lixeira (operação totalmente desnecessária até
agora!).
Se o arquivo LIFE_STAGES.TXT.SHS for executado o worm dispara seu processo
de contaminação e disseminação, que consiste das seguintes etapas:
Move o programa REGEDIT.EXE para a Lixeira, renomeando-o como RECYCLED.VXD;
Modifica o REGISTRO para que ele aponte para o arquivo RECYCLED.VXD,
ocultando essa modificação aos olhos do usuário e do Windows;
Cria diversos arquivos, alguns de nomes fixos, outros de nomes randômicos,
tanto no drive local, quando nos drives de rede mapeados;
Os nomes fixos são:
\WINDOWS\(volume).acl
\WINDOWS\SYSTEM\MSINFO16.TLB
\WINDOWS\SYSTEM\SCANREG.VBS
\WINDOWS\SYSTEM\VBASET.OLB
\RECYCLED\DBINDEX.VBS
\RECYCLED\MSRCYCLD.DAT
\RECYCLED\RCYCLDBN.DAT
\RECYCLED\RECYCLED.VXD (este é na verdade o Editor de Registro)
Os nomes randômicos estão entre os seguintes:
\report.txt.shs
\WINDOWS\LIFE_STAGES.TXT.SHS
\WINDOWS\Start Menu\Programs\unknow_805.txt.shs
\My Documents\IMPORTATNT.TXT.SHS
O worm utiliza a seguinte fórmula para dar nomes a esses arquivos:
(randomico1+randomico2+randomico3.TXT.SHS, onde:
randomico1 pode ser: IMPORTANT, INFO, REPORT, SECRET ou UNKNOW;
randomico2 pode ser: "-" ou "_";
randomico3 é um número entre 0 e 999
(essa combinação de valores consegue gerar 5 x 2 x 1000 = 10.000 nomes
possíveis)
Modifica o REGISTRO para que o arquivo SCANREG.VBS seja executado a
cada boot;
Modifica o REGISTRO para que o arquivo DBINDEX.VBS seja executado a
cada vez que o usuário executar o programa ICQ;
Modifica o arquivo mirc.ini para que carregue um script auxiliar nas
instalações de PIRCH e/ou de mIRC;
Cria um arquivo de nome SOUND32B.DLL - esse arquivo é um script auxiliar
que é chamado pelo mirc.ini, e que contém instruções para envio do arquivo
LIFE_STAGES.TXT.SHS quando o micro se conectar à um canal IRC;
Modifica diversas chaves do REGISTRO:
HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\DefaultIcon
o valor "@" é alterado de "C:\WINDOWS\regedit.exe,1" para "C:\RECYCLED\RECYCLED.VXD,1"
HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command
o valor "@" é alterado de "regedit.exe "%1"" para "C:\RECYCLED\RECYCLED.VXD
"%"1"
para retornar ao estágio pré-worm basta alterar para o valor original
das chaves;
Cria diversas chaves novas no REGISTRO:
HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ:
Parameters="C:\RECYCLED\DBINDEX.VBS"
Path="C:\WINDOWS\WSCRIPT.EXE"
Startup="C:\WINDOWS"
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\:
AlwaysShowExt=""
HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\
OSName="Microsoft Windows"
HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\RunServices\
ScanReg="C:\WINDOWS\WSCRIPT.EXE C:\WINDOWS\SYSTEM\SCANREG.VBS"
Sintomas da execução do Worm:
Existência dos arquivos mencionados mais acima;
Envio de e-mails como mencionado mais acima;
Utilização do canal IRC como mencionado mais acima;
Desaparecimento do arquivo REGEDIT.EXE;
Criação de arquivos na Lixeira como mencionado mais acima;
Editando o REGISTRO para mostrar a extensão SHS:
Só existe uma maneira de se poder visualizar o nome desse tipo de arquivo,
como todos nós esperamos: mexer no registro do Windows. Veja como
Execute o programa REGEDIT;
Localize a chave HKEY_CLASSES_ROOT\ShellScrap;
Selecione a entrada NeverShowExt;
Delete-a (ou renomei-a como AlwaysShowExt);
Saia do REGEDIT;
Não esqueça de dar um reset em seu micro, para que essa alteração no
REGISTRO tenha efeito, e você possa ver a extensão verdadeira desse
tipo de arquivo.
Removendo o Windows Scripting Host do seu sistema:
Recomendamos que se REMOVA também o Windows Scripting Host de seu sistema,
seguindo os seguintes passos:
Selecione INICIAR * CONFIGURAÇÕES * PAINEL DE CONTROLE;
Dê um duplo clique no ícone ADICIONAR/REMOVER PROGRAMAS;
Clique na aba denominada INSTALAÇÃO DO WINDOWS
Dê um duplo clique em ACESSÓRIOS;
Encontre a entrada Windows Scripting Host e deselecione-a;
Clique no botão [OK];
Resete o micro para que a mudança possa ter efeito;
Variantes/Apelidos Worm.Scrapworm; IRC/Stages.ini; ShellScrap Worm;
VBS/ST
Webmaster
Fechar
|