"Zoher": One More Reason to Install the Patch

24 Dec 2001
Virus News

The latest Internet worm exploits a breach in the Outlook safety system

Kaspersky Lab, an international data-security software developer, reports the detection of the latest Internet worm going by the name of I-Worm.Zoher. This worm imperceptibly penetrates a user's computer via a breach in the Outlook safety system. At the moment, there have already been cases of infection by this malicious code.

Zoher spreads via e-mail attached to a file. If a victim's computer has not been installed with the patch thwarting this worm, Zoher is automatically activated upon reading or preliminarily viewing (previewing) an infected message. This method was used earlier by the network worms Nimda, BadtransII, Aliz, and others. If a computer has been installed with the abovementioned patch, Zoher can infect a system only when a user himself starts up the attached file.

An infected message appears as follows:

Heading: Fw: Scherzo!
Attached file name: javascript.exe
Message body:
 Con questa mail ti e stata spedita la FortUna; non la 
 fortuna e basta, e neanche la Fortuna con la F 
 maiuscola, ma addirittura la FortUna con la F e la U 
 maiuscole. Qui non badiamo a spese. Da oggi avrai 
 buona fortuna, ma solo ed esclusivamente se ti liberi 
 di questa mail e la spedisci a tutti quelli che conosci. 
 Se lo farai potrai: 
 - produrti in prestazioni sessuali degne di King Kong 
 per il resto della tua vita 
 - beccherai sempre il verde o al massimo il giallo ai semafori
 - catturerai tutti e centocinquantuno i Pokemon incluso 
 l'elusivo Mew 
 - (per lui) quando andrai a pescare, invece della solita 
 trota tirerai su una sirena tettona nata per sbaglio con gambe umane 
 - (per lei) lui sara talmente innamorato di te che ti 
 come una sirena tettona nata per sbaglio con le gambe 
 Se invece non mandi questa mail a tutta la tua list 
 entro quaranta secondi,allora la tua esistenza diventera 
 una 
 grottesca sequela di eventi tragicomici, una colossale 
 barzelletta che suscitera il riso del resto del pianeta, 
 e ticondurra ad una morte orribile, precoce e solitaria...
 No, dai, ho esagerato: hai sessanta secondi.
 Cascaci: e' tutto vero.
 Puddu Polipu, un grossista di aurore boreali
 cagliaritano, spedi' questa mail a tutta la sua lista
 ed il giorno dopo vinse il Potere Temporale della Chiesa
 alla lotteria della parrocchia.
 Ciccillo Pizzapasta, un cosmonauta campano che
 soffriva di calcoli, si preoccupo di diffondere
 questa mail: quando fu operato si scopri' che i suoi
 calcoli erano in realta diamanti grezzi.
 GianMarco Minaccia, un domatore di fiumi del Molise
 che non aveva fatto circolare questa mail,
 perse entrambe le mani in un incidente subito dopo
 aver comprato un paio di guanti.
 Erode Scannabelve, un pediatra mannaro di
 Trieste,non spedi a nessuno questa mail: dei suoi tre figli
 uno comincio a drogarsi,
 il secondo entro in Forza Italia
 e il terzo si iscrisse a Ingegneria.

The peculiarities of Zoher are that it sends infected messages with an attached file where the worm downloads a message image from the http://banners.interfree.it site. As a result, the worm author can upgrade it with new versions, or force existing worm copies to send other malicious code. The worm does not install itself to the system and is not activated anymore, except cases when a user opens infected e-mail twice or more.

Kaspersky Lab highly recommends downloading and installing the Outlook patch from the Microsoft site. This will protect your system not only from Zoher, but from any other malicious code trying to exploit this breach.

Defense procedures thwarting the Zoher Internet worm have already been added to the Kaspersky Anti-Virus database.

For a more detailed description of this worm, visit the Kaspersky Virus Encyclopedia.