Classification

Category :

Malware

Type :

Virus

Aliases :

Scherzo, I-Worm.Zoher, Sheer

Summary

Zoher (also known as Sheer) is an email worm. It spreads in an email message with long Italian text and an attachment called javascript.exe. On some systems, the attachment is executed automatically.

Removal

Based on the settings of your F-Secure security product, it will either move the file to the quarantine where it cannot spread or cause harm, or remove it.

A False Positive is when a file is incorrectly detected as harmful, usually because its code or behavior resembles known harmful programs. A False Positive will usually be fixed in a subsequent database update without any action needed on your part. If you wish, you may also:

  • Check for the latest database updates

    First check if your F-Secure security program is using the latest updates, then try scanning the file again.

  • Submit a sample

    After checking, if you still believe the file is incorrectly detected, you can submit a sample of it for re-analysis.

    Note: If the file was moved to quarantine, you need to collect the file from quarantine before you can submit it.

  • Exclude a file from further scanning

    If you are certain that the file is safe and want to continue using it, you can exclude it from further scanning by the F-Secure security product.

    Note: You need administrative rights to change the settings.

Technical Details

This worm sends itself to everyone in the Windows Address book. It uses the default system SMTP mail server (found from Windows registry).

The emails sent by the worm look like this:

From: name-of-infected-user
 To: random-name-from-windows-address-book
 Subject: Fw: Scherzo!
 Attachment: javascript.exe
Con questa mail ti e stata spedita la FortUna; non la
 fortuna e basta, e neanche la Fortuna con la F
 maiuscola, ma addirittura la FortUna con la F e la U
 maiuscole. Qui non badiamo a spese. Da oggi avrai
 buona fortuna, ma solo ed esclusivamente se ti liberi
 di questa mail e la spedisci a tutti quelli che conosci.

Se lo farai potrai:
 - produrti in prestazioni sessuali degne di King Kong
 per il resto della tua vita

- beccherai sempre il verde o al massimo il giallo ai semafori
 - catturerai tutti e centocinquantuno i Pokemon incluso
 l'elusivo Mew
 - (per lui) quando andrai a pescare, invece della solita
 trota tirerai su una sirena tettona nata per sbaglio con gambe umane
 - (per lei) lui sara talmente innamorato di te che ti
 come una sirena tettona nata per sbaglio con le gambe Se invece non mandi questa mail a tutta la tua list
 entro quaranta secondi,allora la tua esistenza diventera
 una
 grottesca sequela di eventi tragicomici, una colossale
 barzelletta che suscitera il riso del resto del pianeta,
 e ticondurra ad una morte orribile, precoce e solitaria...

No, dai, ho esagerato: hai sessanta secondi.
 Cascaci: e' tutto vero.

Puddu Polipu, un grossista di aurore boreali
 cagliaritano, spedi' questa mail a tutta la sua lista
 ed il giorno dopo vinse il Potere Temporale della Chiesa
 alla lotteria della parrocchia.

Ciccillo Pizzapasta, un cosmonauta campano che
 soffriva di calcoli, si preoccupo di diffondere
 questa mail: quando fu operato si scopri' che i suoi
 calcoli erano in realta diamanti grezzi.

GianMarco Minaccia, un domatore di fiumi del Molise
 che non aveva fatto circolare questa mail,
 perse entrambe le mani in un incidente subito dopo
 aver comprato un paio di guanti.

Erode Scannabelve, un pediatra mannaro di
 Trieste,non spedi a nessuno questa mail: dei suoi tre
 figli
 uno comincio a drogarsi,
 il secondo entro in Forza Italia
 e il terzo si iscrisse a Ingegneria.

The worm exploits i-frame vulnerability and because of that on some systems the worm is able to self-launch itself when an infected email is viewed (for example, with Outlook and IE 5.0 or 5.01). To do this the worm uses a known vulnerability in IE that allows execution of an email attachment. This vulnerability is fixed and a patch for it is available on Microsoft site:

  • https://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp

The worm doesn't install itself to a system, so it's easy to clean it up. First, apply the above listed patch (if your system doesn't have it yet), then restart your system and delete all infected messages from your email database.

F-Secure Anti-Virus detects Zoher worm with updates published on December 26th, 2001.