VBS_STAGES.A jest kolejnym wirusem "internetowym", który do swojej ekspansji wykorzystuje cały szereg aplikacji, jak na przykład Microsoft Outlook, Pirch, mIRC, a nawet przypisane napędy dysków twardych. Pojawia się w załączniku (LIFE_STAGES.TXT.SHS) nadchodzącej poczty email. Zaatakowany użytkownik może nie zauważyć zagrożenia z uwagi na zakamuflowane rozszerzenie nazwy pliku.

Po uruchomieniu pliku załącznika poczty (LIFE_STAGES.TXT.SHS) , wirus usiłuje zmylić użytkownika wyświetlając następujący tekst:

W tym czasie instaluje się, a potem tworzy rejestr uruchamiający kod po każdorazowym starcie Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\ScanReg = "C:\WINDOWS\WSCRIPT.EXE
C:\WINDOWS\SYSTEM\SCANREG.VBS"

Nastepnie w katalogu C:\WINDOWS\SYSTEM\ umieszczany jest plik SCANREG.VBS, zawierający kod wirusa w formacie VBS.

Dzięki następującym poleceniom:

HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\
Apps\ICQ\Parameters = "C:\RECYCLED\DBINDEX.VBS"

HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\
Apps\ICQ\Path = "C:\WINDOWS\WSCRIPT.EXE"

HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\
Apps\ICQ\Startup = "C:\WINDOWS"

wirus uruchamia się przy każdorazowym włączeniu popularnego programu ICQ.

W celu rozprzestrzeniania się poprzez kanały IRC wirus tworzy plik SOUND32B.DLL, zawierający instrukcję wysłania LIFE_STAGES.TXT.SHS. Następnym ruchem jest wysłanie poczty pod wszystkie adresy email znajdujące się w zasobach zainfekowanego komputera.
Kasowany jest plik REGEDIT.EXE i przesuwany do Recycle Bin pod nazwą RECYCLED.VXD. Plik ten jest wywoływany każdorazowo gdy użytkownik otwiera pliki typu REGEDIT. W tym celu wirus dokonuje zmian w następujących rejestrach:

HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\
DefaultIcon
Value "@":
z "C:\WINDOWS\regedit.exe,1"
na "C:\RECYCLED\RECYCLED.VXD,1"

HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\
open\command Value "@":
z "regedit.exe "%1""
na "C:\RECYCLED\RECYCLED.VXD "%1""

VBS_STAGES.A tworzy także nowe pliki i umieszcza je na wszelkich dostępnych dyskach. Oto ich nazwy:
c:\WINDOWS\machine name.acl
c:\WINDOWS\SYSTEM\MSINFO16.TLB
c:\WINDOWS\SYSTEM\SCANREG.VBS
c:\WINDOWS\SYSTEM\VBASET.OLB
c:\RECYCLED\DBINDEX.VBS
c:\RECYCLED\MSRCYCLD.DAT
c:\RECYCLED\RCYCLDBN.DAT
c:\RECYCLED\RECYCLED.VXD (rzeczywisty REGEDIT.EXE)

Tworzone są także pliki o nazwach losowych:

c:\report.txt.shs
c:\My Documents\IMPORTANT.TXT.SHS
c:\WINDOWS\LIFE_STAGES.TXT.SHS
c:\WINDOWS\Start Menu\Programs\unknown_805.txt.shs

W tworzeniu nazw plików używany jest następujący algorytm:
(Random1+Random2+Random3)+TXT+SHS.

Gdzie Random1 jest jednym z pięciu następujących wyrazów:
"IMPORTANT", "INFO", "REPORT", "SECRET", "UNKNOWN"
Random2 to: "-" lub "_"
Random3 to cyfra generowana w zakresie od 0 do 999.

Jak usunąć:

1. Kliknij START|RUN. Wpisz REGEDIT wciśnij ENTER
2. W lewym panelu kliknij "+" z lewej strony od:
   HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion, RunServices
3. W prawym panelu wyszukaj klucz rejestru zawierający:
   "C:\WINDOWS\WSCRIPT.EXE
   C:\WINDOWS\SYSTEM\SCANREG.VBS".
4. W prawym okienku podświetl rejestr wprowadzający plik i wciśnij DELETE. Potwierdź polecenie kasowania.
5. Powtórz kroki 2 do 4 dla rejestrów
   HKEY_USERS/.DEFAULT/Software/Mirabilis/ICQ/Agent/
   Apps/ICQ
   Wyszukaj klucz zawierający dane::
   Parameters=“C:\RECYCLED\DBINDEX.VBS”, Path="C:\WINDOWS\WSCRIPT.EXE", oraz Startup="C:\WINDOWS"
6. Powtórz kroki 2 do 3 dla kluczy rejestrów
   HKEY_LOCAL_MACHINE/Software/CLASSES/
   regfile/DefaultIcon
   odszukaj klucz który zawiera: "C:\RECYCLED\RECYCLED.VXD,1"
7. W prawym okienku , wskaż i wybierz klucz, a w okienku wprowadzania danych wpisz: C:\WINDOWS\regedit.exe,1.
8. Powtórz kroki 6 do 8 dla rejestru:
   HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/
   shell/open/command
9. Wyjdź z rejestru.
10. Kliknij START|SHUTDOWN. Wybierz "Restart" i potwierdź OK.
11. Przeskanuj programem antywirusowym i skasuj wszytkie pliki zidentyfikowane jako VBS_STAGES.A.
12. Pobierz kopie pliku REGEDIT.EXE z innej maszyny.

Należy stosować oprorgamowanie antywirusowe Trend Micro z najnowszymi uaktualnieniami.