ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO. Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Soluções para:
Produtos domésticos
Pequenas empresas
Empresas médias
Grandes empresas
Vulnerabilidades Ameaças
Início Ameaças IRC-Worm DOS

IRC-Worm.DOS.Septic

Classe
IRC-Worm
Plataforma
DOS

Classe principal: VirWare

Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.

Classe: IRC-Worm

Esse tipo de worm se espalha via Internet Relay Chat. Como worms de e-mail, os Worms de IRC têm duas formas de se espalharem pelos canais de IRC. O primeiro envolve o envio de uma URL que leva a uma cópia do worm. A segunda técnica é enviar um arquivo infectado para um usuário do canal de IRC. No entanto, o destinatário do arquivo infectado deve aceitar o arquivo, salvá-lo no disco e abri-lo (iniciá-lo).

Plataforma: DOS

No platform description

Descrição

Detalhes técnicos

Este é um vírus que se espalha através dos canais mIRC usando um programa de script mIRC e tentando afetar arquivos HTML para infectar computadores remotos quando um navegador da Internet lê páginas HTML infectadas.

O vírus se manifesta nos dias 1 e 2 de cada mês. Ele exibe mensagens e, em seguida, executa um efeito de vídeo. Usando funções VGA, o vírus altera as cores do monitor, transformando-o de branco sobre preto para preto sobre branco e vice-versa. As mensagens são as seguintes: 

1º dia:Somente em seus sonhos você pode ser verdadeiramente livre!~ + DarK.MeSsiAh + ~ escrito por SeptiC [TI]2º dia:O mal puro vem de dentro! ~ + DarK.MeSsiAh + ~Escrito por SeptiC [TI]

O vírus também suporta uma "proteção" que desativa as rotinas de infecção por vírus. Quando uma cópia de vírus é executada, ela procura o arquivo C: _VAC.TXT e imediatamente retorna ao programa host se esse arquivo existir. O vírus também exibe a mensagem aqui: 

Você está protegido por um poder devine~ + DarK.MeSsiAh + ~ não tocará em seus arquivos

Infector DOS COM e EXE

A parte principal do vírus é um infectador ordinário de arquivos DOS. O vírus é criptografado e, quando um arquivo infectado é executado, o loop de descriptografia restaura o código do vírus para o formato não criptografado e passa para a rotina principal de vírus. O vírus então procura por arquivos DOS COM e EXE e os infecta. Ao infectar, o vírus criptografa e grava seu código no final do arquivo e modifica o cabeçalho do arquivo.

O vírus procura por arquivos e os infecta no diretório atual, nos diretórios pai e na árvore de diretórios em todas as unidades de C: para G :. O vírus verifica nomes de arquivos e não infecta: COMMAND, GA *, NP *, arquivos GW *; executa a rotina de infecção do script mIRC se o arquivo MI * (MIRC.EXE, MIRC32.EXE) for encontrado; corrompe arquivos antivírus: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - o vírus sobrescreve-os com um código que exibe a mensagem e retorna ao DOS quando arquivo infectado é executado: 

~ + DarK.MeSsiAh + ~ um toque digital de darKness! Escrito por SeptiC [TI]

O vírus também exclui o arquivo ANTI-VIR.DAT, se existir.

Infectando arquivos BAT

O vírus também procura por arquivos BAT e HTML e os infecta nos mesmos diretórios. Enquanto infecta arquivos BAT, o vírus grava no final do arquivo comandos DOS que substituem o comando DOS "dir" por um conjunto de duas instruções: a primeira executa um conta-gotas PORNO.COM, a segunda executa a instrução DOS "dir" . Como resultado, em qualquer instrução "dir", o dropper de vírus é executado.

O vírus cria seu arquivo dropper PORNO.COM no diretório Command do Windows. Para localizar esse diretório, o vírus tenta três variantes: 

C: WINDOWSCOMMANDC: WIN95COMMANDC: WIN98COMMAND

Se nenhum deles for válido, o vírus descartará esse arquivo no diretório atual. O vírus, em seguida, abre o arquivo C: AUTOEXEC.BAT e o infecta da mesma maneira que para outros arquivos BAT.

Infectando arquivos HTML

Ao infectar um arquivo HTML, o vírus cria, no mesmo diretório, o dropper infectado com o nome PATCH.COM e anexa ao final do arquivo HTML um pequeno conjunto de comandos HTML que exibe a mensagem: 

Baixe o patch mais recente!Clique aqui!

O "clique aqui!" é um link que baixa e executa o dropper de vírus PATCH.COM, quando este link é ativado. Como resultado, as páginas HTML infectadas são "continuadas" com um texto de vírus que oferece download de uma atualização, mas espalha o código do vírus.

script mIRC

O vírus procura por um cliente mIRC instalado no sistema e cria um novo arquivo SCRIPT.INI no mesmo diretório. O vírus procura o mIRC em seis diretórios e não descarta seu componente mIRC se nenhum dos diretórios for encontrado: 

C: MIRCC: MIRC32C: PROGRAMMIRCC: PROGRAMMIRC32C: PROGRA ~ 1MIRCC: PROGRA ~ 1MIRC32

Ao infectar o cliente mIRC, o vírus usa o mesmo truque que outros vírus mIRC fazem: ele substitui o arquivo de script mIRC padrão SCRIPT.INI por um infectado. Quando um cliente mIRC inicia com um script infectado, ele aceita esse arquivo e segue suas instruções.

O SCRIPT.INI infectado contém vários comandos. A principal delas é a instrução de envio de vírus: quando qualquer usuário envia / recebe qualquer arquivo, o vírus envia para esse usuário seu arquivo infectado, PORNO.COM.

O vírus também envia mensagens para o canal e usuários no canal. Quando um cliente infectado se conecta a um servidor de IRC, o vírus envia a mensagem para um usuário com o apelido "SeptiC_dm": 

Eu sou seu servo! Eu fui transformado em um zelote das trevas

Se a string "D.Messiah" aparecer em uma mensagem no canal, o vírus envia sua própria mensagem para todos os usuários no canal: 

Somente em seus sonhos você pode ser verdadeiramente livre!~ + DarK.MeSsiAh + ~ Escrito por SeptiC [TI]

Na seqüência "666", o vírus altera o tópico do canal (exibido no cabeçalho da janela do canal), se o usuário infectado tiver privilégios suficientes. A nova sequência de tópicos é exibida da seguinte maneira: 

~ + DarK.MeSsiAh + ~ um toque digital de darKness! Escrito por SeptiC [TI]

No texto "rezar", o vírus define o modo de operador do canal para um usuário que posta este texto e envia a mensagem para o canal: 

Eu obedeço meu mestre! viva satanás

No texto "sacrifício", todos os usuários infectados são expulsos do canal com a mensagem: 

 Sua palavra é meu comando, poder para satanás!

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com

Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!
Kaspersky Next:
cibersegurança redefinida
Saber mais
Novo Kaspersky!
Sua vida dgital merece proteção completa!
Saber mais
Related articles
05 September 2024
Securelist
Tropic Trooper spies on government entities in the Middle East
04 September 2024
Securelist
Mallox ransomware: in-depth analysis and evolution
03 September 2024
Securelist
A deep dive into the most interesting incident response cases of last year
03 September 2024
Securelist
IT threat evolution in Q2 2024. Non-mobile statistics
03 September 2024
Securelist
IT threat evolution in Q2 2024. Mobile statistics
03 September 2024
Securelist
IT threat evolution Q2 2024
Encontrou uma imprecisão na descrição desta vulnerabilidade?
Se você encontrou uma nova Ameaça ou Vulnerabilidade, por favor, nos avise por e-mail:
newvirus@kaspersky.com
Encontrou uma nova Ameaça ou Vulnerabilidade?
Se você encontrou uma nova Ameaça ou Vulnerabilidade, por favor, nos avise por e-mail:
newvirus@kaspersky.com
Soluções para
Produtos domésticos
Pequenas empresas
Empresas médias
Grandes empresas
Select language
Sorting
Ameaça
Confirm changes?
Your message has been sent successfully.