FRISK Software International


Summary of W32/Zoher@mm
Alias:Scherzo, Sheer, I-Worm.Zoher
Discovered: 25 Dec 2001
Infection Method:Infected e-mail attachments
 
Jump to:
Brief description
Technical description

Brief Description
Sheer is an e-mail worm. It spreads in an e-mail message with long Italian text and an attachment called javascript.exe. On some systems, the attachment is executed automatically.


Technical Description
This worm sends itself to everyone in the Windows Address book. It uses the default system SMTP mail server (found from Windows registry).

The e-mails sent by the worm look like this:

  From: name-of-infected-user
  To: random-name-from-windows-address-book
  Subject: Fw: Scherzo!
  Attachment: javascript.exe


  Con questa mail ti e stata spedita la FortUna; non la
  fortuna e basta, e neanche la Fortuna con la F
  maiuscola, ma addirittura la FortUna con la F e la U
  maiuscole. Qui non badiamo a spese. Da oggi avrai
  buona fortuna, ma solo ed esclusivamente se ti liberi
  di questa mail e la spedisci a tutti quelli che conosci.


  Se lo farai potrai:
  - produrti in prestazioni sessuali degne di King Kong
  per  il  resto della tua vita


  - beccherai sempre il verde o al massimo il giallo ai semafori
  - catturerai tutti e centocinquantuno i Pokemon incluso
  l'elusivo Mew


  - (per lui) quando andrai a pescare, invece della solita
  trota  tirerai su una sirena tettona nata per sbaglio con gambe umane


  - (per lei) lui sara talmente innamorato di te che ti
  come una sirena tettona nata per sbaglio con le gambe



  Se invece non mandi questa mail a tutta la tua list
  entro quaranta secondi,allora la tua esistenza diventera
  una
  grottesca sequela di eventi tragicomici, una colossale
  barzelletta che suscitera il riso del resto del pianeta,
  e  ticondurra ad una morte orribile, precoce e solitaria...
  No, dai, ho esagerato: hai sessanta secondi.


  Cascaci: e' tutto vero.
  Puddu Polipu, un grossista di aurore boreali
  cagliaritano, spedi' questa mail a tutta la sua lista
  ed il giorno dopo vinse il Potere Temporale della Chiesa
  alla lotteria della parrocchia.
  Ciccillo Pizzapasta, un cosmonauta campano che
  soffriva di calcoli, si preoccupo di diffondere
  questa mail: quando fu operato si scopri' che i suoi
  calcoli erano in realta diamanti grezzi.


  GianMarco Minaccia, un domatore di fiumi del Molise
  che non aveva fatto circolare questa mail,
  perse entrambe le mani in un incidente subito dopo
  aver comprato un paio di guanti.
  Erode Scannabelve, un pediatra mannaro di
  Trieste,non spedi a nessuno questa mail: dei suoi tre
  figli
  uno comincio a drogarsi,
  il secondo entro in Forza Italia
  e il terzo si iscrisse a Ingegneria.
The worm exploits i-frame vulnerability and because of that on some systems the worm is able to self-launch itself when an infected e-mail is viewed (for example, with Outlook and IE 5.0 or 5.01). To do this the worm uses a known vulnerability in IE that allows execution of an email attachment. This vulnerability is fixed and a patch for it is available on Microsoft site:



The worm doesn't install itself to a system, so it's easy to clean it up. First, apply the above listed patch (if your system doesn't have it yet), then restart your system and delete all infected messages from your e-mail database.


[Mikko Hypponen, Alexey Podrezov, F-Secure Corporation, December 25-26th, 2001]
 


Stay up to date with important developments via e-mail.
Stay up to date with life cycle policies for F-PROT Antivirus for Windows.
Virus news and information directly to your desktop.
Definitions of common antivirus terminology.
For further virus information, please try our partners' websites:

Authentium

perComp Verlag
(in German)
 

agoat@klaki.net argentina@f-prot.com argentina@frisk.is argentina@complex.is argentina@f-prot.is argentina@frisk-software.com argentina@f-prot.net argentina@f-prot.co.uk brazil@f-prot.com brazil@frisk.is brazil@complex.is brazil@f-prot.is brazil@frisk-software.com brazil@f-prot.net brazil@f-prot.co.uk malta@f-prot.com malta@frisk.is malta@complex.is malta@f-prot.is malta@frisk-software.com malta@f-prot.net malta@f-prot.co.uk a.bjani@f-prot.com a.bjani@frisk.is a.bjani@complex.is a.bjani@f-prot.is a.bjani@f-prot.co.uk a.bjani@frisk-software.com a.bjani@f-prot.net z.fifl@f-prot.com z.fifl@frisk.is z.fifl@complex.is z.fifl@f-prot.is z.fifl@f-prot.co.uk z.fifl@frisk-software.com z.fifl@f-prot.net strumpuri@complex.is strumpure@complex.is strumpuru@complex.is