Content

VBS/Grimgram@MM

Type
Virus
SubType
E-mail worm
Discovery Date
02/19/2003
Length
Varies
Minimum DAT
4250 (02/26/2003)
Updated DAT
4255 (04/02/2003)
Minimum Engine
5.1.00
Description Added
02/20/2003
Description Modified
02/24/2003 9:45 AM (PT)
Risk Assessment
Corporate User
Low
Home User
Low

Tab Navigation

Characteristics

This is a mass-mailing, KaZaa, and Internet Relay Chat (IRC) propagating worm. It may arrive in an email message containing the following information:

Subject: Mail Delivery Return System
Body: El Mensage que envio no pudo ser entregado a uno o más destinatarios
Attachment: MailFile.mht
or
Subject: Invitacion
Body: Lo invitamos a visitar nuestro nuevo sitio FTP, donde podra acceder a una gran cantidad de contenidos y archivos. Un Servicio de FreeServer, para entrar pulse sobre el enlace enviado.
Attachment: www.ftpfree.mht
or
Subject: Microsoft Internet Explorer
Body: Microsoft advierte de una nueva vulnerabilidad en el navegador Internet Explorer 5.X y 6.X, que podría, hacer que un atacante, tomara el control de una pc afectada, muy facilmente, se ruega leer el boletin adjunto y descargar el parche para solucionar este problema. Att. Microsoft Corporation.
Attachment: Microsoft Bulletin 207.mht
or
Subject: Models
Body: Models a renovado su site, y lo(a) invita a visitar la coleccion de fotografías de las(o) modelos y artistas mas conocidos. Pulse sobre el enlace enviado para entrar.
Attachment: www.Models.mht
or
Subject: Games OnLine
Body: Visita nuestro nuevo site, donde podras descargar gran cantidad de juegos, o entrar a nuestras salas de multijugadores online, la seccion de juegos 3D esta recomendada. Pulsa el enlace enviado para entrar.
Attachment: www.gmol.mht
or
Subject: Buscas Amistad o Amor?
Body: Quieres conocer amigas y amigos o buscas pareja? Visita nuestro site y conoce a gente como tú Pulsa el enlace enviado para entrar.
Attachment: www.rdA.mht
or
Subject: Adivinanzas y Trivias
Body: Te gustan las trivias, leyendas, anecdotas, refranes, chistes, test y adivinanzas. Entonces visita nuestra page y mira los que te enviamos. Pulsa el enlace enviado para entrar.
Attachment: Trivia.mht
or
Subject: Te Estan Espiando?
Body: Esta proliferando el Spyware(Software Espía), que instalan programas como Kazaa, Grokster, entre otros. El Spyware informa a los servidores del programa que lo instaló, sobre las paginas que visitas y demás habitos de navegacion, con los cuales ellos elaboran perfiles comerciales de usuario Y a diferencia de los troyanos, son legales ya que al instalar estas aplicaciones nos aparece un contrato en ingles(que la mayoría no leemos), y al aceptar estamos permitiendo esto, por lo que muchos antivirus no los detectan, y lo peor es que si le sacamos el Spyware, muchos de estos programas dejan de funcionar, Esto es una burla para nosotros los usarios. Prueba la herramienta AntiSpyware Ad-aware(gratuita), que puedes obtenerla en http://www.lavasoft.de ,una de las mejores que he encontrado. Gracias por darte tiempo para leer esto, no dejemos que esto continue.
Attachment: NoHabrasEsto.mht
or
Subject: Series, Peliculas, Telenovelas
Body: Quieres descargar alguna pelicula, capítulos de una serie o novela o encontrar resumenes, adelantos y fotos, o tal vez saber más de sus protagonistas? Entonces busca en nuestra base de datos, pulsa el enlace enviado para entrar.
Attachment: EnterTvRed.mht
or
Subject: Confirmacion de Suscripción
Body: Su dirección de correo electronico, fue dada de alta para recibir nuestro boletín, para confirmar que fue usted el que ingreso su direccion o darse de baja, escriba al email que aparece al final del boletín. Att.
Attachment: Boletin N.205.mht

The attachment is an HTML document containing an encrypted VBScript. When the script is run, it checks to see if the attachment extension is MHT. If it is, a copy of the script is written to the root directory with an HTA extension. If the language of Windows contains "es" (such as Portuguese) a fake error message is displayed:

Error
Esta Pagina Requiere Controles ActiveX para ser mostrada en su totalidad
Presione Actualizar y Acepte

For all other languages this fake error is displayed:

Error
This Paginates it Requires Controls ActiveX to be shown in their entirety
Press to Upgrade and Accept

A copy of the script is saved to the SYSTEM (%SysDir%) as DeathLetter.vbe and a registry run key is created to load that file at startup:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
    DeathLetter = "C:\WINDOWS\System\DeathLetter.vbe"
The worm then copies itself to the %SysDir% as Letter_of_the_Death.mht and ComoHackearUnMail.mht. The script then exits, waiting for the DeathLetter.vbe file to get executed at startup.

Email propagation
Upon reboot, the DeathLetter.vbe file is executed. The worm stores all email addresses found in the Outlook Contact Folder, as well as email addresses found within .HTM and .HTML documents on the local system, in the registry.

  • HKEY_CURRENT_USER\Software\Gedzac Labs\VBS.OM\
    Mail %EMAIL_ADDRESS% = "Dmail"
  • HKEY_CURRENT_USER\Software\Gedzac Labs\VBS.XM\
    Mail %EMAIL_ADDRESS% = "Dmail"
The virus sends itself to these addresses using OUTLOOK and MAPI with the aforementioned message information. An additional message is sent to the email address sachiel2015@latinmail.com with the subject "VBS/DeathLetter Reportandose" and a message body containing the infected systems product name, registered organization, and registered owner.

KaZaa propagation
The worm creates a directory in the SYSTEM (%SysDir%) directory, GEDZAC_LABS(P2P). Inside this folder, many copies of the worm are placed:

  • Ana Kournikova Sex Video.mht
  • AVP Antivirus Pro Key Crack.mht
  • Britney Spears Sex Video.mht
  • Buffy Vampire Slayer Movie.mht
  • Crack Passwords Mail.mht
  • Cristina Aguilera Sex Video.mht
  • Game Cube Real Emulator.mht
  • Hentai Anime Girls Movie.mht
  • Jenifer Lopez Sex Video.mht
  • Matrix Movie.mht
  • Mcafee Antivirus Scan Crack.mht
  • Norton Anvirus Key Crack.mht
  • Panda Antivirus Titanium Crack.mht
  • PS2 PlayStation Simulator.mht
  • Quick Time Key Crack.mht
  • Sakura Card Captor Movie.mht
  • Sex Live Simulator.mht
  • Sex Passwords.mht
  • Spiderman Movie.mht
  • Start Wars Trilogy Movies.mht
  • Thalia Sex Video.mht
  • Winzip KeyGenerator Crack.mht
In addition to these filenames, the worm also uses the filenames of files that were found in the users KaZaa LocalContent folder, adding a MHT extension to the end. The script modifies the registry, so that the KaZaa localContent folder setting points to the newly created folder containing the copies of the worm.

IRC propagation
The script modifies the mIRC client MIRC.INI file to use a script file DeathLetter.chat. This file sends the worm to other IRC users upon disconnecting from the same channel as the infected user. It sends itself using one of the following filenames:

  • Aracnofobia.mht
  • Relatos.mht
  • www.EstasMuerto.mht
  • VampireSlayer.mht
  • Bush_Is_a_Murderer.mht
The worm modifies Pirch PIRCH98.INI, PIRCH32.INI, EVENTS.DLL, and EVENTS.INI files to send the worm to users upon joining and parting from the same channel as the infected user. It sends itself using the filename ComoHackearUnMail.mht.

Symptoms

When run, a window is displayed:

The script also opens 3 URLs. These sites have been omitted as they may contain viral content.

Method of Infection

This virus spreads via email, KaZaa, and IRC.

Removal

All Users:
Use specified engine and DAT files for detection and removal.

Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).

Additional Windows ME/XP removal considerations

Variants

Variants

    N/A

All Information

Overview -

This is a virus detection. Viruses are programs that self-replicate recursively, meaning that infected systems spread the virus to other systems, which then propagate the virus further. While many viruses contain a destructive payload, it's quite common for viruses to do nothing more than spread from one system to another.

Aliases

  • VBS.DLetter@mm (Symantec)
  • VBS/DeathLetter

Characteristics

Characteristics -

This is a mass-mailing, KaZaa, and Internet Relay Chat (IRC) propagating worm. It may arrive in an email message containing the following information:

Subject: Mail Delivery Return System
Body: El Mensage que envio no pudo ser entregado a uno o más destinatarios
Attachment: MailFile.mht
or
Subject: Invitacion
Body: Lo invitamos a visitar nuestro nuevo sitio FTP, donde podra acceder a una gran cantidad de contenidos y archivos. Un Servicio de FreeServer, para entrar pulse sobre el enlace enviado.
Attachment: www.ftpfree.mht
or
Subject: Microsoft Internet Explorer
Body: Microsoft advierte de una nueva vulnerabilidad en el navegador Internet Explorer 5.X y 6.X, que podría, hacer que un atacante, tomara el control de una pc afectada, muy facilmente, se ruega leer el boletin adjunto y descargar el parche para solucionar este problema. Att. Microsoft Corporation.
Attachment: Microsoft Bulletin 207.mht
or
Subject: Models
Body: Models a renovado su site, y lo(a) invita a visitar la coleccion de fotografías de las(o) modelos y artistas mas conocidos. Pulse sobre el enlace enviado para entrar.
Attachment: www.Models.mht
or
Subject: Games OnLine
Body: Visita nuestro nuevo site, donde podras descargar gran cantidad de juegos, o entrar a nuestras salas de multijugadores online, la seccion de juegos 3D esta recomendada. Pulsa el enlace enviado para entrar.
Attachment: www.gmol.mht
or
Subject: Buscas Amistad o Amor?
Body: Quieres conocer amigas y amigos o buscas pareja? Visita nuestro site y conoce a gente como tú Pulsa el enlace enviado para entrar.
Attachment: www.rdA.mht
or
Subject: Adivinanzas y Trivias
Body: Te gustan las trivias, leyendas, anecdotas, refranes, chistes, test y adivinanzas. Entonces visita nuestra page y mira los que te enviamos. Pulsa el enlace enviado para entrar.
Attachment: Trivia.mht
or
Subject: Te Estan Espiando?
Body: Esta proliferando el Spyware(Software Espía), que instalan programas como Kazaa, Grokster, entre otros. El Spyware informa a los servidores del programa que lo instaló, sobre las paginas que visitas y demás habitos de navegacion, con los cuales ellos elaboran perfiles comerciales de usuario Y a diferencia de los troyanos, son legales ya que al instalar estas aplicaciones nos aparece un contrato en ingles(que la mayoría no leemos), y al aceptar estamos permitiendo esto, por lo que muchos antivirus no los detectan, y lo peor es que si le sacamos el Spyware, muchos de estos programas dejan de funcionar, Esto es una burla para nosotros los usarios. Prueba la herramienta AntiSpyware Ad-aware(gratuita), que puedes obtenerla en http://www.lavasoft.de ,una de las mejores que he encontrado. Gracias por darte tiempo para leer esto, no dejemos que esto continue.
Attachment: NoHabrasEsto.mht
or
Subject: Series, Peliculas, Telenovelas
Body: Quieres descargar alguna pelicula, capítulos de una serie o novela o encontrar resumenes, adelantos y fotos, o tal vez saber más de sus protagonistas? Entonces busca en nuestra base de datos, pulsa el enlace enviado para entrar.
Attachment: EnterTvRed.mht
or
Subject: Confirmacion de Suscripción
Body: Su dirección de correo electronico, fue dada de alta para recibir nuestro boletín, para confirmar que fue usted el que ingreso su direccion o darse de baja, escriba al email que aparece al final del boletín. Att.
Attachment: Boletin N.205.mht

The attachment is an HTML document containing an encrypted VBScript. When the script is run, it checks to see if the attachment extension is MHT. If it is, a copy of the script is written to the root directory with an HTA extension. If the language of Windows contains "es" (such as Portuguese) a fake error message is displayed:

Error
Esta Pagina Requiere Controles ActiveX para ser mostrada en su totalidad
Presione Actualizar y Acepte

For all other languages this fake error is displayed:

Error
This Paginates it Requires Controls ActiveX to be shown in their entirety
Press to Upgrade and Accept

A copy of the script is saved to the SYSTEM (%SysDir%) as DeathLetter.vbe and a registry run key is created to load that file at startup:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
    DeathLetter = "C:\WINDOWS\System\DeathLetter.vbe"
The worm then copies itself to the %SysDir% as Letter_of_the_Death.mht and ComoHackearUnMail.mht. The script then exits, waiting for the DeathLetter.vbe file to get executed at startup.

Email propagation
Upon reboot, the DeathLetter.vbe file is executed. The worm stores all email addresses found in the Outlook Contact Folder, as well as email addresses found within .HTM and .HTML documents on the local system, in the registry.

  • HKEY_CURRENT_USER\Software\Gedzac Labs\VBS.OM\
    Mail %EMAIL_ADDRESS% = "Dmail"
  • HKEY_CURRENT_USER\Software\Gedzac Labs\VBS.XM\
    Mail %EMAIL_ADDRESS% = "Dmail"
The virus sends itself to these addresses using OUTLOOK and MAPI with the aforementioned message information. An additional message is sent to the email address sachiel2015@latinmail.com with the subject "VBS/DeathLetter Reportandose" and a message body containing the infected systems product name, registered organization, and registered owner.

KaZaa propagation
The worm creates a directory in the SYSTEM (%SysDir%) directory, GEDZAC_LABS(P2P). Inside this folder, many copies of the worm are placed:

  • Ana Kournikova Sex Video.mht
  • AVP Antivirus Pro Key Crack.mht
  • Britney Spears Sex Video.mht
  • Buffy Vampire Slayer Movie.mht
  • Crack Passwords Mail.mht
  • Cristina Aguilera Sex Video.mht
  • Game Cube Real Emulator.mht
  • Hentai Anime Girls Movie.mht
  • Jenifer Lopez Sex Video.mht
  • Matrix Movie.mht
  • Mcafee Antivirus Scan Crack.mht
  • Norton Anvirus Key Crack.mht
  • Panda Antivirus Titanium Crack.mht
  • PS2 PlayStation Simulator.mht
  • Quick Time Key Crack.mht
  • Sakura Card Captor Movie.mht
  • Sex Live Simulator.mht
  • Sex Passwords.mht
  • Spiderman Movie.mht
  • Start Wars Trilogy Movies.mht
  • Thalia Sex Video.mht
  • Winzip KeyGenerator Crack.mht
In addition to these filenames, the worm also uses the filenames of files that were found in the users KaZaa LocalContent folder, adding a MHT extension to the end. The script modifies the registry, so that the KaZaa localContent folder setting points to the newly created folder containing the copies of the worm.

IRC propagation
The script modifies the mIRC client MIRC.INI file to use a script file DeathLetter.chat. This file sends the worm to other IRC users upon disconnecting from the same channel as the infected user. It sends itself using one of the following filenames:

  • Aracnofobia.mht
  • Relatos.mht
  • www.EstasMuerto.mht
  • VampireSlayer.mht
  • Bush_Is_a_Murderer.mht
The worm modifies Pirch PIRCH98.INI, PIRCH32.INI, EVENTS.DLL, and EVENTS.INI files to send the worm to users upon joining and parting from the same channel as the infected user. It sends itself using the filename ComoHackearUnMail.mht.

Symptoms

Symptoms -

When run, a window is displayed:

The script also opens 3 URLs. These sites have been omitted as they may contain viral content.

Method of Infection

Method of Infection -

This virus spreads via email, KaZaa, and IRC.

Removal -

Removal -

All Users:
Use specified engine and DAT files for detection and removal.

Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).

Additional Windows ME/XP removal considerations

Variants

Variants -

    N/A