Clique Aqui Para Fazer o Download do __RoBsOn__ §¢®íþt¥Clique Aqui Para Obter Ajuda de iRCClique Aqui Para Mandar E-mail Para o Criador do __RoBsOn__ §¢®íþt¥Clique Aqui Para Ver a Lista de Agradecimentos aos Nossos Ilustres ColaboradoresClique Aqui Para ir Para a Página PrincipalClique Aqui Para Aprender Algumas Dicas do ScriptClique Aqui Para Visitar Alguns Links Interessantes

Vírus VBS/Stages.A (Tipo: Worm; Origem: desconhecida)
Resumo Técnico do Vírus:
Tenha calma, você arrumou uma bela encrenca, LEIA COM ATENÇÃO

Se o arquivo LIFE_STAGES.TXT.SHS for executado o worm dispara seu processo de contaminação e disseminação, que consiste das seguintes etapas:
Move o programa REGEDIT.EXE para a Lixeira, renomeando-o como RECYCLED.VXD;
Modifica o REGISTRO para que ele aponte para o arquivo RECYCLED.VXD, ocultando essa modificação aos olhos do usuário e do Windows;
Cria diversos arquivos, alguns de nomes fixos, outros de nomes randômicos, tanto no drive local, quando nos drives de rede mapeados;
Os nomes fixos são:
\WINDOWS\(volume).acl
\WINDOWS\SYSTEM\MSINFO16.TLB
\WINDOWS\SYSTEM\SCANREG.VBS
\WINDOWS\SYSTEM\VBASET.OLB
\RECYCLED\DBINDEX.VBS
\RECYCLED\MSRCYCLD.DAT
\RECYCLED\RCYCLDBN.DAT
\RECYCLED\RECYCLED.VXD (este é na verdade o Editor de Registro)
Os nomes randômicos estão entre os seguintes:
\report.txt.shs
\WINDOWS\LIFE_STAGES.TXT.SHS
\WINDOWS\Start Menu\Programs\unknow_805.txt.shs
\My Documents\IMPORTATNT.TXT.SHS
O worm utiliza a seguinte fórmula para dar nomes a esses arquivos:
(randomico1+randomico2+randomico3.TXT.SHS, onde:
randomico1 pode ser: IMPORTANT, INFO, REPORT, SECRET ou UNKNOW;
randomico2 pode ser: "-" ou "_";
randomico3 é um número entre 0 e 999
(essa combinação de valores consegue gerar 5 x 2 x 1000 = 10.000 nomes possíveis)
Modifica o REGISTRO para que o arquivo SCANREG.VBS seja executado a cada boot;
Modifica o REGISTRO para que o arquivo DBINDEX.VBS seja executado a cada vez que o usuário executar o programa ICQ;
Modifica o arquivo mirc.ini para que carregue um script auxiliar nas instalações de PIRCH e/ou de mIRC;
Cria um arquivo de nome SOUND32B.DLL - esse arquivo é um script auxiliar que é chamado pelo mirc.ini, e que contém instruções para envio do arquivo LIFE_STAGES.TXT.SHS quando o micro se conectar à um canal IRC;

Modifica diversas chaves do REGISTRO:
HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\DefaultIcon
o valor "@" é alterado de "C:\WINDOWS\regedit.exe,1" para "C:\RECYCLED\RECYCLED.VXD,1"
HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command
o valor "@" é alterado de "regedit.exe "%1"" para "C:\RECYCLED\RECYCLED.VXD "%"1"
para retornar ao estágio pré-worm basta alterar para o valor original das chaves;
Cria diversas chaves novas no REGISTRO:
HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ:
Parameters="C:\RECYCLED\DBINDEX.VBS"
Path="C:\WINDOWS\WSCRIPT.EXE"
Startup="C:\WINDOWS"
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\:
AlwaysShowExt=""
HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\
OSName="Microsoft Windows"
HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\RunServices\
ScanReg="C:\WINDOWS\WSCRIPT.EXE C:\WINDOWS\SYSTEM\SCANREG.VBS"
Sintomas da execução do Worm:

Existência dos arquivos mencionados mais acima;
Envio de e-mails como mencionado mais acima;
Utilização do canal IRC como mencionado mais acima;
Desaparecimento do arquivo REGEDIT.EXE;
Criação de arquivos na Lixeira como mencionado mais acima;
Editando o REGISTRO para mostrar a extensão SHS:

Só existe uma maneira de se poder visualizar o nome desse tipo de arquivo, como todos nós esperamos: mexer no registro do Windows. Veja como
Execute o programa REGEDIT;
Localize a chave HKEY_CLASSES_ROOT\ShellScrap;
Selecione a entrada NeverShowExt;
Delete-a (ou renomei-a como AlwaysShowExt);
Saia do REGEDIT;
Não esqueça de dar um reset em seu micro, para que essa alteração no REGISTRO tenha efeito, e você possa ver a extensão verdadeira desse tipo de arquivo.
Removendo o Windows Scripting Host do seu sistema:

Recomendamos que se REMOVA também o Windows Scripting Host de seu sistema, seguindo os seguintes passos:
Selecione START * CONFIGURATION * CONTROL PANEL;
Dê um duplo clique no ícone ADD/REMOVE PROGRAMS;
Clique na aba denominada WINDOWS SETUP;
Dê um duplo clique em ACCESSORIES;
Encontre a entrada Windows Script Host e deselecione-a;
Clique no botão [OK];
Resete o micro para que a mudança possa ter efeito;
Variantes/Apelidos Worm.Scrapworm; IRC/Stages.ini; ShellScrap Worm; VBS/STAGES


VBS.Stages.A Este worm aparece como um anexo com o nome de LIFE_STAGES.TXT.SHS. A execução deste anexo irá abrir um arquivo de texto no Bloco de Notas, exibindo os estágios feminino e masculino da vida. Enquanto o usuário está lendo o arquivo de texto o script é executado em segundo plano. Este worm se espalha sozinho usando o Outlook, ICQ, mIRC e PIRCH.
O SARC sugere que os clientes corporativos configurem os seus sistemas para filtrar ou bloquear todos os e-mails recebidos que tenham anexos com a extensão .SHS.
Também conhecido como: IRC/Stages.worm, Life_Stages Worm
Categoria: Worm
Extensão da infecção: 39,936 bytes
Definições do virus: O certificado das definições está pendente.
Atuação
Número de infecções: 0-49
Número de locais: 0-2
Distribuição geográfica: Baixa
Controle da ameaça: Fácil
Remoção: Difícil
Danos
Gatilho: Execução do anexo LIFE_STAGES.TXT.SHS
Carga:
E-mails em grande escala: Envia e-mails para todo o catálogo de endereços do MS Outlook
Arquivos modificados: Registro do Sistema, Regedit.exe
Causa instabilidades no sistema: Pode sobrecarregar os servidores de e-mail
Distribuição
Assunto do e-mail: Existem 12 possibilidades para o assunto de e-mail
Nome do anexo: LIFE_STAGES.TXT.SHS Tamanho do anexo: 39,936 bytes Unidades compartilhadas: Copia a si mesmo para todas as unidades mapeadas
Descrição técnica:
Um arquivo SHS é um arquivo Microsoft Scrap Object (Objeto Recorte da Microsoft)
. Este tipo de arquivo é um executável e pode conter uma grande variedade de objetos.
A extensão do objeto recorte (SHS) não aparece no Windows Explorer, mesmo se as extensões para todos os tipos de arquivo estiverem sendo exibidas.
Depois de executar este worm, seu sistema é modificado de várias maneiras: SCANREG.VBS, VBASET.OLB E MSINFO16.TLB são criados no diretório \WINDOWS\SYSTEM.
A chave de registro HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/ScanReg é adicionada para executar o arquivo SCANREG.VBS ao iniciar o Windows.
LIFE_STAGES.TXT.SHS é criado no diretório \WINDOWS.
Um arquivo nomeado aleatoriamente no formato Rand1+Rand2+Rand3.txt.shs onde Rand1 = IMPORTANT, INFO, REPORT, SECRET, ou UNKNOWN e Rand2 = - ou _ e Rand3 = um número aleatório entre 1 e 1000.
Ele é criado dentro do diretório raiz de todas as unidades mapeadas, dentro de \Meus Documentos e de \WINDOWS\START MENU\PROGRAMS. Por exemplo, report_439.txt.shs ou IMPORTANT-707.TXT.SHS.
O arquivo regedit.exe é movido para a Lixeira (Recycle Bin) como um arquivo de sistema oculto chamado RECYCLED.VXD.
MSRCYCLD.DAT,
RCYCLDBN.DAT
e DBINDEX.VBS são criados dentro da Lixeira (Recycled Bin) como arquivos de sistema ocultos.
MSRYCLD.DAT é uma cópia do arquivo SHS original.
RCYCLDBN.DAT é uma cópia do arquivo SCANREG.VBS.
DBINDEX.VBS é configurado para ser executado quando o ICQ é iniciado.
O script para o mIRC é modificado para chamar o arquivo SOUND32B.DLL, que faz com que o worm se espalhe através do mIRC e do PIRCH.
O worm envia um e-mail para os endereços listados no seu Catálogo de Endereços do MS Outlook.
O e-mail contém o anexo LIFE_STAGES.TXT.SHS. O assunto do e-mail é aleatoriamente gerado e pode ser uma entre doze linhas.
Ele pode ou não iniciar com "Fw:".
Ele irá conter "Life stages", "Funny" ou "Jokes" e pode ou não ser seguido de "text".
Os exemplos podem ser "Fw: Life stages", "Jokes text" ou "Fw: Funny text".
O worm apaga imediatamente as cópias dos e-mails depois de tê-los enviado, para assegurar de que não existirão registros de sua presença.
Remoção::
Você deve apagar todos os arquivos .txt.shs de seu sistema.
Apague também os arquivos SCANREG.VBS, VBASET.OLB e MSINFO16.TLB do diretório \WINDOWS\SYSTEM.
Você vai precisar restaurar o registro usando o regedit.
Para fazer isto, primeiro abra um prompt do MS-DOS e vá para o diretório \RECYCLED.
Usando o comando attrib, modifique as configurações dos arquivos que o worm criou ali.
O comando deve ser attrib -hsr recycled.vxd e assim por diante para cada um desses arquivos.
Copie RECYCLED.VXD como \WINDOWS\REGEDIT.EXE e então apague os 4 arquivos que você modificou.
Usando o regedit faça as seguintes modificações no registro:
Apague o valor HKLM/Software/Microsoft/Windows/RunServices/Scanreg.
Apague os valores Enable, Parameters, Path e StartUp na chave HKEY_USERS/.Default/Software/Mirabilis/ ICQ/Agent/Apps/ICQ
Apague o valor HKLM/Software/Microsoft/Windows/CurrentVersion/OSName.
Modifique o valor para HKCR/regfile/DefaultIcon substituindo C:\RECYCLED\RECYCLED.VXD com C:\WINDOWS\REGEDIT.EXE.
Modifique o valor para HKCR/regfile/shell/open/command substituindo C:\RECYCLED\RECYCLED.VXD com C:\WINDOWS\REGEDIT.EXE.
Modifique o valor para HKLM/Software/CLASSES/regfile/shell/open/command substituindo C:\RECYCLED\RECYCLED.VXD com C:\WINDOWS\REGEDIT.EXE.
Modifique o valor para HKLM/Software/CLASSES/regfile/DefaultIcon by substituindo C:\RECYCLED\RECYCLED.VXD com C:\WINDOWS\REGEDIT.EXE.
Base de informações da Symantec Escrito por: Brian Ewell

Compartilhe esta informação com um amigo

Estas informações foram gentilmente cedidas por Tania- (Tania Melo)

Produzido por Robson Moraes Almeida.

Mandar E-mail Para o Criador do Script!

Copyright © 2000 - 2004 Robola Ltd. Todos os direitos reservados.

Esta página foi feita no FrontPage ExpressResolução Recomendada
Última Atualização
12/04/2004

Hosted by www.Geocities.ws

1