Un nouveau Ver similaire à Mélissa, écrit en VBS. Son activation requiert la présence de Windows Scripting Host (par défaut sur Windows 98 et Windows 2000). Il écrase un grand nombre de fichiers avec une copie de lui-même (vbs, vbe, js, jse, css, wsh, sct, hta), Crée des fichiers .jpg.vbs and .jpeg.vbs à partir des fichiers jpegs et efface les fichiers originaux. Les fichiers ".mp3" et ".mp2" ne sont pas effacés, mais simplement cachés.

Le ver se propage par l'intermédiaire de MAPI aux correspondants repris dans vos carnets d'adresse Outlook 98 ou Outlook 2000 et en modifiant l'initialisation du MIRC afin d'afficher une page web contenant un script infectieux.

Il existe déjà quelques variantes de ce ver

• Mother's Day - efface les fichiers .INI et .BAT
• Susitikim - une variante lituanienne.
• fwd : Joke - où le script est renommé very funny.

Si vous n'avez pas d'anti-virus, suivez ces instructions.

Avec F-Secure Anti-Virus 4.07, 4.08 utilisez fsupdate

fsupdate site 1 * fsupdate site 2

NOTES Importantes

1 - Scannez tous les fichiers. si le virus s'est activé, il y a de fortes chances pour que des fichiers qui ne sont pas scannés habituellement soient infectés (double extension). De plus, il se pourrait que votre anti-virus ne soit pas configuré pour scanner l'extensions .vbs par défaut.

2 - Le virus ne s'ajoute pas aux fichiers cibles : il les écrase avec une copie de lui-même ou crée de nouveaux fichiers. C'est pourquoi le virus ne peut-être désinfecté, les fichiers atteints doivent être effacés.

3 - Le virus crée entre-autre ces fichiers qui sont vecteurs d'infection

MSKernel32.vbs dans le répertoire système de Windows.
Win32DLL.vbs dans le répertoire Windows lui-même.

Les noms de ces fichiers sont choisis de façon à vous effrayer : ils ressemblent en fait à des fichiers système, mais ils n'en sont pas. Ces fichiers doivent absolument être effacés car ils sont essentiels à la survie du virus.

Modifications de la Base de Registre

HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout
pourrait avoir été palcé à zéro : cette entrée peut-être enlevée sans crainte.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
Ces clés exécutent le vers/virus et doivent absolument être enlevées.

Le vers utilise un mécanisme de balance de charge pour télécharger aléatoirement un des quatres fichiers WIN-BUGSFIX.exe suivant en modifiant la home page de Microsoft Explorer.

HKCU\Software\Microsoft\Internet Explorer\Main\StartPage","http://www.skyinet.net/~young1s/
HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.skyinet.net/~angelcat/
skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.skyinet.net/~koichi/
jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.skyinet.net/~chu/
sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxc
bvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe

Ce troyen est ensuite exécuté par l'intermédiaire du registre.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
Cette clé doit être enlevée - en pratique le danger est mineur car ces sites semblent soit surchargés soit off-line. Si par malchance vous aviez downloadé et exécuté WIN-BUGSFIX.exe vous devez au minimum changer vos mots-de-passe, ils ont pourraient avoir été envoyés à l'extérieur.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","about:blank"

Enfin, le ver restaure une page blanche comme page de défaut d'exploreur.

Lien vers la description de F-Secure Corporation