Virus Database

Zzz.1379

Description Zzz.1379

It is a dangerous nonmemory resident parasitic virus. It searches for .COM files in the directories C:WINDOWSCOMMAND, C:DN, CLIENTWIN95, then writes itself to the beginning of the file. While infecting the virus creates temporary file ZZZ.TMP. On 20th and 27th of any month the virus deletes the files:
C:WINDOWSSYSTEM.INI
C:WINDOWSWIN.INI
C:WINDOWSSYSTEMMDISP32.REG
C:WINDOWSSYSTEMOLE2.REG

Check other viruses! Be aware! Use Antiviral Software

I-Worm.Zircon.c

Description I-Worm.Zircon.c

This is a worm virus spreading via the Internet in infected e-mails. The worm itself is a Windows PE EXE file about 12Kb in size, written in Assembler.
The infected messages contain the following information:
Subject: 'Important' or a Japanese language subject (17 variants)
Body: [empty]
Attach: patch.exe

The worm activates from an infected e-mail only when a user clicks on the attachment.
The worm does not install itself in the system and once run is no longer active - unless a user clicks on the attachment once again.
Spreading
To send out infected messages the worm reads the address of the default Outlook SMTP server from the registry and connects to it. Then the worm reads addresses from the Windows address book. It then sends messages to all addresses found in the Windows address book. If the recipient's address ends with the string ".jp" the worm inserts a Japanese subject. If not it inserts the subject: "Important".
The worm contains the text string:
XXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXX I-Worm.Japanize XXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX

I-Worm.Zoher

Description I-Worm.Zoher

This is a virus-worm that spreads via the Internet attached to infected e-mails. The worm itself is a Windows PE EXE file 6.6Kb in length, and it is written in Assembler.
The infected messages contain:
Subject: Fw: Scherzo!
Attachment: javascript.exe

The message body is long, and it is written in Italian (see it below).
To run from an infected message, the worm uses a security breach (IFRAME vulnerability, similar to that one used by the "Nimda" worm). So the worm may be activated from an infected e-mail by simply reading or previewing the message.
The worm does not install itself to the system and is not activated anymore (except cases when a user opens an infected e-mail twice or more).
To send infected messages, the worm uses a direct connection to the default SMTP server. To obtain e-mail addresses, it scans the WAB database.
To send an infected message with an attached file, the worm downloads a message image from the http://banners.interfree.it site. As a result the worm author can upgrade it with new versions, or force existing worm copies to send other malicious code.
The message body appears as follows:

Con questa mail ti e stata spedita la FortUna; non la
fortuna e basta, e neanche la Fortuna con la F
maiuscola, ma addirittura la FortUna con la F e la U
maiuscole. Qui non badiamo a spese. Da oggi avrai
buona fortuna, ma solo ed esclusivamente se ti liberi
di questa mail e la spedisci a tutti quelli che conosci.
Se lo farai potrai:
- produrti in prestazioni sessuali degne di King Kong
per il resto della tua vita
- beccherai sempre il verde o al massimo il giallo ai semafori
- catturerai tutti e centocinquantuno i Pokemon incluso
l'elusivo Mew
- (per lui) quando andrai a pescare, invece della solita
trota tirerai su una sirena tettona nata per sbaglio con gambe umane
- (per lei) lui sara talmente innamorato di te che ti
come una sirena tettona nata per sbaglio con le gambe
Se invece non mandi questa mail a tutta la tua list
entro quaranta secondi,allora la tua esistenza diventera
una
grottesca sequela di eventi tragicomici, una colossale
barzelletta che suscitera il riso del resto del pianeta,
e ticondurra ad una morte orribile, precoce e solitariaall
No, dai, ho esagerato: hai sessanta secondi.
Cascaci: e' tutto vero.
Puddu Polipu, un grossista di aurore boreali
cagliaritano, spedi' questa mail a tutta la sua lista
ed il giorno dopo vinse il Potere Temporale della Chiesa
alla lotteria della parrocchia.
Ciccillo Pizzapasta, un cosmonauta campano che
soffriva di calcoli, si preoccupo di diffondere
questa mail: quando fu operato si scopri' che i suoi
calcoli erano in realta diamanti grezzi.
GianMarco Minaccia, un domatore di fiumi del Molise
che non aveva fatto circolare questa mail,
perse entrambe le mani in un incidente subito dopo
aver comprato un paio di guanti.
Erode Scannabelve, un pediatra mannaro di
Trieste,non spedi a nessuno questa mail: dei suoi tre figli
uno comincio a drogarsi,
il secondo entro in Forza Italia
e il terzo si iscrisse a Ingegneria.

Home