Nieuwe variant van I Love You: Life Stages

Dit had Symantec er over te zeggen:

1.VBS.Stages.A is a new worm.

A new virus named VBS.Stages.A was discovered over the weekend. The
virus attempts to email a copy of itself to everyone in your
Microsoft Outlook address book. It also attempts to spread itself
using IRC, mIRC, and PIRCH.

The email contains an attachment named LIFE_STAGES.TXT.SHS. The
subject line of the email is
randomly generated. There are 12 possibilities for the subject line
of the email, which will include one of the following phrases:

* Life Stages
* Funny
* Jokes

Once LIFE_STAGES.TXT.SHS is executed, a text file will be opened in
Notepad displaying the male and female stages of life. A script is
executed in the background, which makes some changes to your system.
The worm creates several files in the \WINDOWS\SYSTEM\ folder:
SCANREG.VBS, VBASET.OLB, and MSINFO16.TLB. The worm modifies the
registry to run the worm on startup. A randomly named file is added
to the root directory of all mapped drives, the \My Documents folder,
and the \Windows\Start Menu\Programs folder.

If you receive an email that matches this description, please delete
it immediately.

Verdere info (inclusief een handmatige oplossing is te vinden op:

www.symantec.com/techsupp/vURL.cgi/nav47

De handmatige oplossing is alleen wel erg lang, gezien het grote aantal wijzigingen wat het "virus" aanbrengt. Wie voelt zich geroepen om dit te verwerken in een scriptje??

Er was hier een tijdje geleden een lijstje met welke extensies die door een patch afgeschermd zouden worden. Wil iemand nog even nazoeken of SHS daar ook in stond?
Zo nee: waarom niet? (SHS dus, niet waarom je niet wil zoeken )

Nieuwe variant van I love you? hmmm.

Als ik I love you had geschreven registreerde ik de rechten op de source code en suede ik elke namaker zijn kont eraf zou mijn actie toch nog ergens goed voor zijn geweest.

Was ik lekker de eerste die geld verdiende aan het maken van virussen, leip...

Update voor Phantom:
Is de maker er niet onderuit gepiept wegens brakke wetgeving? Dacht het wel.
En als hij dat niet deed: What the hell, hij moet z'n torenhoge schulden toch ergens mee terugverdienen

</div><div class=b4>"LIFE_STAGES.TXT.SHS" (the suffix ".SHS" may be hidden)</div><div class=b1>

Hier kan je info vinden over de .SHS en .SHB bestanden:

www.pc-help.org/security/scrap.htm

Onder andere de register hack die je toe moet passen om de extensie .SHS zichtbaar te maken, want zelfs als je de optie "hide known file extentions" NIET aan hebt staan dan wordt .SHS in Windows niet getoond! (er moeten een aantal registersleutels met de naam 'NeverShowExt" verwijderd worden om de .SHS extentie zichtbaar te maken.)

Verder kan je er info vinden voor welke patches er beschikbaar zijn voor de SHS kwetsbaarheid en bijvoorbeeld hoe je handmatig de .SHS en .SHB extenties toe kan voegen aan de lijst met filetypes die MacAfee virusscanner controleert.

Files met SHS extensie worden inderdaad afgeschermt door de outlook security patch.
Check support.microsoft.com/support/kb/articles/Q262/6/17.ASP maar voor meer informatie (outlook 98).

</div><div class=b4>Onder andere de register hack die je toe moet passen om de extensie .SHS zichtbaar te maken, want zelfs als je de optie "hide known file extentions" NIET aan hebt staan dan wordt .SHS in Windows niet getoond! (er moeten een aantal registersleutels met de naam 'NeverShowExt" verwijderd worden om de .SHS extentie zichtbaar te maken.)</div><div class=b1>

Dan tweak je je systeem niet goed want ik zie alle extenties.
Overigens is de makkelijkste oplossing voor al deze gezeik met die domme virussen: gewoon even naar Explorer gaan en dit doen: (Win95 A)
1) Menu balk "View" kiezen,
2) Selecteer "options".
3) Selecteer tab-blad "File-Types".
4) Selecteer het type "Windows Scripting Host Settings File".
5) Klik op "edit".
6) Selecteer de actie "open".
7) Klik op "edit".
Tik "C:\WINDOWS\NOTEPAD.EXE" "%1" in het 'application used to preform action' edit boxje.

Nu zal elke keer dat een op een scriptje klikt (en je hebt het niet door...) notepad verschijnen met de source van het scriptje...

Voor de sendmail (gateway) gebruikers het volgende voorbeeld: www.xs4all.nl/~mstevens/tweakers/iloveyou.mc

Deze wordt overigens door mij bijgehouden. Iedere keer als er weer iets met een 'default' header binnen kan komen. Dit keer is het wat lastig, ik heb ook nog geen voorbeeld van het virus gezien en de lijst met mogelijkheden van "Live stages" is ook nog niet lang genoeg.

Trouwens, ook altijd een echt anti-virus pakket installeren, dit biedt absoluut niet afdoende bescherming, maar is een handig eerste "lapmiddel" zolang er nog geen update van de anti-virus fabrikant is.

Getest met sendmail 8.9.1 & 8.9.3

klopt inderdaad. het lijkt wel een copy van I love you maar is het niet, alhoewel het wel gebruik maakt van dezelfde exploits...

wat hij exact doet: (onder voorbehoud)


VBS.Stages.A
By Lenny Vinson lvinson@cosaint.com for SecurityPortal.com


Summary

Common Names: VBS.Stages.A.
Aliases: IRC.Stages.worm, Life_Stages Worm, I-Worm.Scrapworm, IRC/Stages.ini, Life_Stages.TXT.SHS, ShellScrap Worm, VBS/Lifestages, VBS/Stages.14558, VBS/Stages.2541
Type: Visual Basic Script Worm
Author: Unknown
Discovered: 06/16/2000
Origin: Unknown
Risk: High
Damage: Low
Distribution: High
Vulnerable: Windows 95/98/NT/2000


Brief
VBS.Stages.A is usually received as an email attachment Life_Stages.Txt.SHS. When opened this attachment will launch Notepad and display the following text:

The male stages of life:

Age.Seduction lines.
17 My parents are away for the weekend.
25 My girlfriend is away for the weekend.
35 My fiancee is away for the weekend.
48 My wife is away for the weekend.
66 My second wife is dead.

Age. Favorite sport
17 Sex.
25 Sex.
35 Sex.
48 Sex.
66 Napping.

Age. Definition of a successful date.
17 Tongue
25 Breakfast.
35 She didn't set back my therapy.
48 I didn't have to meet her kids.
66 Got home alive.

The female stages of life.

Age. Favorite fantasy
17 Tall, Dark and handsome.

25 Tall, Dark and handsome with money.
35 Tall, Dark and handsome with money and a brain
48 A man with hair
66 A man

Age.Ideal date. 17 He offers to pay.
25 He pays.
35 He cooks breakfast the next morning.
48 He cooks breakfast the next morning for the kids.
66 He can chew his breakfast

If the file "LIFE_STAGES.TXT.SHS" is run, the following will occur on the local system:

1) Extracts "LIFE_STAGES.TXT.VBS" and runs from the temp folder

2) Sends itself via MAPI email to a random number of recipients with one of the following email combinations:

Subject: [P1]+[P2]+[P3]
Body: > The male and female stages of life.
Attachment: LIFE_STAGES.TXT.SHS

In the above, the subject line is variable, but limited to 12 possible combinations. P1, P2 & P3 are chosen from the respective lists below:

P1 -» "FW: ", ""
P2 -» "Life stages", "Funny", "Jokes"
P3 -» " text", ""

Examples:
Subject = "Funny"
Subject = "FW: Jokes text"
Subject = "Life stages"

The recipients are "blind carbon copied" or "bcc".

* moves REGEDIT.EXE from the Windows folder to the recycle bin as "RECYCLED.VXD", modifies registry to use this relocated file when importing or using registry type files

3) Creates files of random names throughout the local system and all available drives; fixed names include the following:

c:\WINDOWS\SYSTEM\MSINFO16.TLB
c:\WINDOWS\SYSTEM\SCANREG.VBS
c:\WINDOWS\SYSTEM\VBASET.OLB
c:\RECYCLED\DBINDEX.VBS
c:\RECYCLED\MSRCYCLD.DAT
c:\RECYCLED\RCYCLDBN.DAT
c:\RECYCLED\RECYCLED.VXD (really REGEDIT.EXE)

The following are examples of random names generated:

c:\report.txt.shs
c:\My Documents\IMPORTANT.TXT.SHS
c:\WINDOWS\LIFE_STAGES.TXT.SHS
c:\WINDOWS\Start Menu\Programs\unknown_805.txt.shs

In the creation of random named SHS files, this worm uses the following algorithm to determine a name:

([Random1]+[Random2]+[Random3])+TXT+SHS.

Random1 is a selection of one of five choices:
"IMPORTANT"
"INFO"
"REPORT"
"SECRET"
"UNKNOWN"

Random2 is a selection of one of two choices:
"-"
"_"

Random3 is a randomly generated number between 0 and 999.

The combination of these three randomizations results in 10,000 possible different names.

4) Modifies the registry to run SCANREG.VBS at Windows startup

5) Modifies the registry to run DBINDEX.VBS when loading ICQ

6) Modifies the registry to run RECYCLED.VXD when calls are made to run REGEDIT type files

7) Modifies MIRC.INI to load an auxiliary script file for PIRCH/mIRC installations

Creates SOUND32B.DLL whenever Windows restarts in the Windows folder via SCANREG.VBS; SOUND32B.DLL is an auxiliary script file called by MIRC.INI; SOUND32B.DLL contains instructions to send the file LIFE_STAGES.TXT.SHS when connecting to IRC channels

9) Modifies the following registry settings (to recover, modify these to original "from" settings):

HKLM\Software\CLASSES\regfile\DefaultIcon
Value "@":
from "C:\WINDOWS\regedit.exe,1"
to "C:\RECYCLED\RECYCLED.VXD,1"

HKLM\Software\CLASSES\regfile\shell\open\command
Value "@":
from "regedit.exe "%1""
to "C:\RECYCLED\RECYCLED.VXD "%1""

10) Creates the following registry settings (to recover, delete these keys):

HKU\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ\
Parameters="C:\RECYCLED\DBINDEX.VBS"

HKU\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ\
Path="C:\WINDOWS\WSCRIPT.EXE"

HKU\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ\
Startup="C:\WINDOWS"

HKLM\Software\CLASSES\txtfile\
AlwaysShowExt=""

HKLM\Software\Microsoft\Windows\CurrentVersion\
OSName="Microsoft Windows"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
ScanReg="C:\WINDOWS\WSCRIPT.EXE C:\WINDOWS\SYSTEM\SCANREG.VBS

raarste is eigenlijk nog wel dat hij niet zomaar de hele lijst met adressen afwerkt. Hij selecteerd volledig random adressen waarna hij ze bcc verstuurt.

anyway: code zag er professioneler uit dan ILOVEYOU... (damn, deze topic is laaaang )

Paz

Daar gaan we weer.......

Tja, Er zijn mensen die hun tijd 'nuttig' willen besteden. Persoonlijk begrijp ik zulke vandalistische acties niet.