Content
W32/Creepy.a@MM
- Type
- Virus
- SubType
- Internet Worm
- Discovery Date
- 09/09/2001
- Length
- 336,869
- Minimum DAT
- 4159 (09/18/2001)
- Updated DAT
- 4245 (01/29/2003)
- Minimum Engine
- 5.1.00
- Description Added
- 09/09/2001
- Description Modified
- 09/12/2001 10:11 AM (PT)
Tab Navigation
Characteristics
This mass-mailing worm sends itself to all entries found in the Microsoft Outlook Address Book and alters the default start page and search page used by Microsoft Internet Explorer. When run, a DOS window is displayed which contains the following text:
Welkom bij de hypnose truuk! Na deze hypnose sessie, kunt u iedere willekeurige tekst ondersteboven lezen! Grafische elementen worden geinstalleerd, moment aub...
Zorg dat u vast een A-4tje met tekst, of een krant, ondersteboven naast u hebt l
iggen. Er verschijnen zometeen tien regels met een willekeurige text op hetscherm.
Het kan tot 15 seconden duren voordat de eerste regel verschijnt.
Lees ieder woord totdat het scherm veranderd.
Nu verschijnt een draaiende spiraal. Hierop concentreert u zich gedurende 10 tot
15 seconden.
Kijk hierna snel naar het blad met tekst en zie!! U kunt ondersteboven lezen!!
Immediately after displaying this window an Outlook prompt appears:
Clicking CANCEL will remove the Outlook prompt as well as the DOS window message. The worm then sends an email message with the following information.
To:
BCC: All recipients in the MS Outlook address book
Subject: Leuk programmaatje!
Body:
Hallo , dit is een heel gaaf programmaatje wat ik van Bert gekregen heb.
Opstarten en gedurende 5 minuten naar de stip kijken en daarna naar je hand. Creepy!!
Ik heb het op virussen gecheckt dus dat zit wel snor.
Groetjes...
Attachment: (Last 8 characters in the name of the executable).exe
often Hypnose.exe
Running the attachment infects the local system.
The worm creates two registry run keys to load itself at startup:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MyApp=%WormPath% (varies)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\MyApp=%WormPath% (varies)
An additional registry key value is created:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\SafeSites\ie.search.msn.com=
http://www.serverbeat.nl/redir.php?http://www.protagonist.nl/redir.php?http://www.uniserver.nl/redir.php?
The default start page of Internet Explorer is set to http://www.de-isp.nl
The following shortcuts are created on the desktop:
Registreer een domein 1.url
Registreer een domein 2.url
Registreer een domein 3.url
www.activeisp.nl.url
www.de-isp.url
www.nedcomp.nl.url
www.plexusict.nl.url
www.serverbeat.nl.url
And the following shortcuts are created in the WINDOWS FAVORITES folder:
www.activeisp.nl.url
www.de-isp.url
www.nedcomp.nl.url
www.plexusict.nl.url
www.protagonist.nl.url
www.serverbeat.nl.url
\Internet Hosting\Registreer een domein 1.url
\Internet Hosting\Registreer een domein 2.url
\Internet Hosting\Registreer een domein 3.url
\Internet Hosting\www.activeisp.nl.url
\Internet Hosting\www.de-isp.url
\Internet Hosting\www.nedcomp.nl.url
\Internet Hosting\www.plexusict.nl.url
\Internet Hosting\www.protagonist.nl.url
\Internet Hosting\www.serverbeat.nl.url
Symptoms
- Presence of unusual shortcuts on the desktop and WINDOWS FAVORITES folder (as mentioned above)
- Altered default start page of Internet Explorer
- Mail recipients stating that you sent them an attachment when you had not knowingly done so
Method of Infection
This mass-mailing worm arrives as an email attachment. Running this attachments causes your system to be used to propagate the virus further.
Removal
All Windows Users:
Use current engine and DAT files for detection and removal.
Manual Removal Instructions
-
Delete the registry key(s) as mentioned above
Information on deleting registry keys
Restart the computer
Delete the files mentioned above
Variants
Variants
- W32/Creepy.b@MM
All Information
Overview -
This is a virus detection. Viruses are programs that self-replicate recursively, meaning that infected systems spread the virus to other systems, which then propagate the virus further. While many viruses contain a destructive payload, it's quite common for viruses to do nothing more than spread from one system to another.
Aliases
- Creepy (F-Secure)
- W32/Creepy@MM
- Win32.Creep.A@mm (AVX)
Characteristics
Characteristics -
This mass-mailing worm sends itself to all entries found in the Microsoft Outlook Address Book and alters the default start page and search page used by Microsoft Internet Explorer. When run, a DOS window is displayed which contains the following text:
Welkom bij de hypnose truuk! Na deze hypnose sessie, kunt u iedere willekeurige tekst ondersteboven lezen! Grafische elementen worden geinstalleerd, moment aub...
Zorg dat u vast een A-4tje met tekst, of een krant, ondersteboven naast u hebt l
iggen. Er verschijnen zometeen tien regels met een willekeurige text op hetscherm.
Het kan tot 15 seconden duren voordat de eerste regel verschijnt.
Lees ieder woord totdat het scherm veranderd.
Nu verschijnt een draaiende spiraal. Hierop concentreert u zich gedurende 10 tot
15 seconden.
Kijk hierna snel naar het blad met tekst en zie!! U kunt ondersteboven lezen!!
Immediately after displaying this window an Outlook prompt appears:
Clicking CANCEL will remove the Outlook prompt as well as the DOS window message. The worm then sends an email message with the following information.
To:
BCC: All recipients in the MS Outlook address book
Subject: Leuk programmaatje!
Body:
Hallo , dit is een heel gaaf programmaatje wat ik van Bert gekregen heb.
Opstarten en gedurende 5 minuten naar de stip kijken en daarna naar je hand. Creepy!!
Ik heb het op virussen gecheckt dus dat zit wel snor.
Groetjes...
Attachment: (Last 8 characters in the name of the executable).exe
often Hypnose.exe
Running the attachment infects the local system.
The worm creates two registry run keys to load itself at startup:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MyApp=%WormPath% (varies)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\MyApp=%WormPath% (varies)
An additional registry key value is created:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\SafeSites\ie.search.msn.com=
http://www.serverbeat.nl/redir.php?http://www.protagonist.nl/redir.php?http://www.uniserver.nl/redir.php?
The default start page of Internet Explorer is set to http://www.de-isp.nl
The following shortcuts are created on the desktop:
Registreer een domein 1.url
Registreer een domein 2.url
Registreer een domein 3.url
www.activeisp.nl.url
www.de-isp.url
www.nedcomp.nl.url
www.plexusict.nl.url
www.serverbeat.nl.url
And the following shortcuts are created in the WINDOWS FAVORITES folder:
www.activeisp.nl.url
www.de-isp.url
www.nedcomp.nl.url
www.plexusict.nl.url
www.protagonist.nl.url
www.serverbeat.nl.url
\Internet Hosting\Registreer een domein 1.url
\Internet Hosting\Registreer een domein 2.url
\Internet Hosting\Registreer een domein 3.url
\Internet Hosting\www.activeisp.nl.url
\Internet Hosting\www.de-isp.url
\Internet Hosting\www.nedcomp.nl.url
\Internet Hosting\www.plexusict.nl.url
\Internet Hosting\www.protagonist.nl.url
\Internet Hosting\www.serverbeat.nl.url
Symptoms
Symptoms -
- Presence of unusual shortcuts on the desktop and WINDOWS FAVORITES folder (as mentioned above)
- Altered default start page of Internet Explorer
- Mail recipients stating that you sent them an attachment when you had not knowingly done so
Method of Infection
Method of Infection -
This mass-mailing worm arrives as an email attachment. Running this attachments causes your system to be used to propagate the virus further.
Removal -
Removal -
All Windows Users:
Use current engine and DAT files for detection and removal.
Manual Removal Instructions
-
Delete the registry key(s) as mentioned above
Information on deleting registry keys
Restart the computer
Delete the files mentioned above
Additional Windows ME/XP removal considerations
Variants
Variants -
- W32/Creepy.b@MM
