Kaspersky Threats

Class

Platform

Description

Technical Details

This is a virus-worm that spreads via the Internet attached to infected
e-mails. The worm itself is a Windows PE EXE file 6.6Kb in length, and it is written in
Assembler.

The infected messages contain:

Subject: Fw: Scherzo!
Attachment: javascript.exe

The message body is long, and it is written in Italian (see it below).

To run from an infected message, the worm uses a security breach (IFRAME
vulnerability, similar to that one used by the “Nimda” worm). So the worm may be
activated from an infected e-mail by simply reading or previewing the message.

The worm does not install itself to the system and is not activated anymore
(except cases when a user opens an infected e-mail twice or more).

To send infected messages, the worm uses a direct connection to the default SMTP
server. To obtain e-mail addresses, it scans the WAB database.

To send an infected message with an attached file, the worm downloads a message image
from the http://banners.interfree.it site. As a result the worm author can upgrade
it with new versions, or force existing worm copies to send other malicious
code.

The message body appears as follows:


 Con questa mail ti e stata spedita la FortUna; non la 
 fortuna e basta, e neanche la Fortuna con la F 
 maiuscola, ma addirittura la FortUna con la F e la U 
 maiuscole. Qui non badiamo a spese. Da oggi avrai 
 buona fortuna, ma solo ed esclusivamente se ti liberi 
 di questa mail e la spedisci a tutti quelli che conosci. 
 Se lo farai potrai: 
 - produrti in prestazioni sessuali degne di King Kong 
 per il resto della tua vita 
 - beccherai sempre il verde o al massimo il giallo ai semafori
 - catturerai tutti e centocinquantuno i Pokemon incluso 
 l'elusivo Mew 
 - (per lui) quando andrai a pescare, invece della solita 
 trota tirerai su una sirena tettona nata per sbaglio con gambe umane 
 - (per lei) lui sara talmente innamorato di te che ti 
 come una sirena tettona nata per sbaglio con le gambe 
 Se invece non mandi questa mail a tutta la tua list 
 entro quaranta secondi,allora la tua esistenza diventera 
 una 
 grottesca sequela di eventi tragicomici, una colossale 
 barzelletta che suscitera il riso del resto del pianeta, 
 e ticondurra ad una morte orribile, precoce e solitaria...
 No, dai, ho esagerato: hai sessanta secondi.
 Cascaci: e' tutto vero.
 Puddu Polipu, un grossista di aurore boreali
 cagliaritano, spedi' questa mail a tutta la sua lista
 ed il giorno dopo vinse il Potere Temporale della Chiesa
 alla lotteria della parrocchia.
 Ciccillo Pizzapasta, un cosmonauta campano che
 soffriva di calcoli, si preoccupo di diffondere
 questa mail: quando fu operato si scopri' che i suoi
 calcoli erano in realta diamanti grezzi.
 GianMarco Minaccia, un domatore di fiumi del Molise
 che non aveva fatto circolare questa mail,
 perse entrambe le mani in un incidente subito dopo
 aver comprato un paio di guanti.
 Erode Scannabelve, un pediatra mannaro di
 Trieste,non spedi a nessuno questa mail: dei suoi tre figli
 uno comincio a drogarsi,
 il secondo entro in Forza Italia
 e il terzo si iscrisse a Ingegneria.

Find out the statistics of the threats spreading in your region

Class	Email-Worm
Platform	Win32
Description	Technical Details This is a virus-worm that spreads via the Internet attached to infected e-mails. The worm itself is a Windows PE EXE file 6.6Kb in length, and it is written in Assembler. The infected messages contain: Subject: Fw: Scherzo! Attachment: javascript.exe The message body is long, and it is written in Italian (see it below). To run from an infected message, the worm uses a security breach (IFRAME vulnerability, similar to that one used by the “Nimda” worm). So the worm may be activated from an infected e-mail by simply reading or previewing the message. The worm does not install itself to the system and is not activated anymore (except cases when a user opens an infected e-mail twice or more). To send infected messages, the worm uses a direct connection to the default SMTP server. To obtain e-mail addresses, it scans the WAB database. To send an infected message with an attached file, the worm downloads a message image from the http://banners.interfree.it site. As a result the worm author can upgrade it with new versions, or force existing worm copies to send other malicious code. The message body appears as follows: Con questa mail ti e stata spedita la FortUna; non la fortuna e basta, e neanche la Fortuna con la F maiuscola, ma addirittura la FortUna con la F e la U maiuscole. Qui non badiamo a spese. Da oggi avrai buona fortuna, ma solo ed esclusivamente se ti liberi di questa mail e la spedisci a tutti quelli che conosci. Se lo farai potrai: - produrti in prestazioni sessuali degne di King Kong per il resto della tua vita - beccherai sempre il verde o al massimo il giallo ai semafori - catturerai tutti e centocinquantuno i Pokemon incluso l'elusivo Mew - (per lui) quando andrai a pescare, invece della solita trota tirerai su una sirena tettona nata per sbaglio con gambe umane - (per lei) lui sara talmente innamorato di te che ti come una sirena tettona nata per sbaglio con le gambe Se invece non mandi questa mail a tutta la tua list entro quaranta secondi,allora la tua esistenza diventera una grottesca sequela di eventi tragicomici, una colossale barzelletta che suscitera il riso del resto del pianeta, e ticondurra ad una morte orribile, precoce e solitaria... No, dai, ho esagerato: hai sessanta secondi. Cascaci: e' tutto vero. Puddu Polipu, un grossista di aurore boreali cagliaritano, spedi' questa mail a tutta la sua lista ed il giorno dopo vinse il Potere Temporale della Chiesa alla lotteria della parrocchia. Ciccillo Pizzapasta, un cosmonauta campano che soffriva di calcoli, si preoccupo di diffondere questa mail: quando fu operato si scopri' che i suoi calcoli erano in realta diamanti grezzi. GianMarco Minaccia, un domatore di fiumi del Molise che non aveva fatto circolare questa mail, perse entrambe le mani in un incidente subito dopo aver comprato un paio di guanti. Erode Scannabelve, un pediatra mannaro di Trieste,non spedi a nessuno questa mail: dei suoi tre figli uno comincio a drogarsi, il secondo entro in Forza Italia e il terzo si iscrisse a Ingegneria.
	Find out the statistics of the threats spreading in your region

Email-Worm.Win32.Zoher

Technical Details