F-Secure: Be Sure
Main
F-Secure Logo - Be Sure
Select local site


Privacy Policy
Legal Notices
Contact Us

F-Secure Virus Descriptions : Zoher





NAME:Zoher
ALIAS:Scherzo, Sheer, I-Worm.Zoher

Sheer is an e-mail worm. It spreads in an e-mail message with long Italian text and an attachment called javascript.exe. On some systems, the attachment is executed automatically.

This worm sends itself to everyone in the Windows Address book. It uses the default system SMTP mail server (found from Windows registry).

The e-mails sent by the worm look like this: 

  From: name-of-infected-user
  To: random-name-from-windows-address-book
  Subject: Fw: Scherzo!
  Attachment: javascript.exe


  Con questa mail ti e stata spedita la FortUna; non la
  fortuna e basta, e neanche la Fortuna con la F
  maiuscola, ma addirittura la FortUna con la F e la U
  maiuscole. Qui non badiamo a spese. Da oggi avrai
  buona fortuna, ma solo ed esclusivamente se ti liberi
  di questa mail e la spedisci a tutti quelli che conosci.


  Se lo farai potrai:
  - produrti in prestazioni sessuali degne di King Kong
  per  il  resto della tua vita


  - beccherai sempre il verde o al massimo il giallo ai semafori
  - catturerai tutti e centocinquantuno i Pokemon incluso
  l'elusivo Mew


  - (per lui) quando andrai a pescare, invece della solita
  trota  tirerai su una sirena tettona nata per sbaglio con gambe umane


  - (per lei) lui sara talmente innamorato di te che ti
  come una sirena tettona nata per sbaglio con le gambe


  Se invece non mandi questa mail a tutta la tua list
  entro quaranta secondi,allora la tua esistenza diventera
  una
  grottesca sequela di eventi tragicomici, una colossale
  barzelletta che suscitera il riso del resto del pianeta,
  e  ticondurra ad una morte orribile, precoce e solitaria...
  No, dai, ho esagerato: hai sessanta secondi.


  Cascaci: e' tutto vero.
  Puddu Polipu, un grossista di aurore boreali
  cagliaritano, spedi' questa mail a tutta la sua lista
  ed il giorno dopo vinse il Potere Temporale della Chiesa
  alla lotteria della parrocchia.
  Ciccillo Pizzapasta, un cosmonauta campano che
  soffriva di calcoli, si preoccupo di diffondere
  questa mail: quando fu operato si scopri' che i suoi
  calcoli erano in realta diamanti grezzi.


  GianMarco Minaccia, un domatore di fiumi del Molise
  che non aveva fatto circolare questa mail,
  perse entrambe le mani in un incidente subito dopo
  aver comprato un paio di guanti.
  Erode Scannabelve, un pediatra mannaro di
  Trieste,non spedi a nessuno questa mail: dei suoi tre
  figli
  uno comincio a drogarsi,
  il secondo entro in Forza Italia
  e il terzo si iscrisse a Ingegneria.

The worm exploits i-frame vulnerability and because of that on some systems the worm is able to self-launch itself when an infected e-mail is viewed (for example, with Outlook and IE 5.0 or 5.01). To do this the worm uses a known vulnerability in IE that allows execution of an email attachment. This vulnerability is fixed and a patch for it is available on Microsoft site:

http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp

The worm doesn't install itself to a system, so it's easy to clean it up. First, apply the above listed patch (if your system doesn't have it yet), then restart your system and delete all infected messages from your e-mail database.

F-Secure Anti-Virus detects Zoher worm with updates published on December 26th, 2001.

[Mikko Hypponen, Alexey Podrezov, F-Secure Corporation, December 25-26th, 2001]