IRC-Worm.DOS.Septic

Detalhes técnicos

Este é um vírus que se espalha através dos canais mIRC usando um programa de script mIRC e tentando afetar arquivos HTML para infectar computadores remotos quando um navegador da Internet lê páginas HTML infectadas.

O vírus se manifesta nos dias 1 e 2 de cada mês. Ele exibe mensagens e, em seguida, executa um efeito de vídeo. Usando funções VGA, o vírus altera as cores do monitor, transformando-o de branco sobre preto para preto sobre branco e vice-versa. As mensagens são as seguintes:

1º dia:

Somente em seus sonhos você pode ser verdadeiramente livre!

~ + DarK.MeSsiAh + ~ escrito por SeptiC [TI]

2º dia:

O mal puro vem de dentro! ~ + DarK.MeSsiAh + ~

Escrito por SeptiC [TI]

O vírus também suporta uma "proteção" que desativa as rotinas de infecção por vírus. Quando uma cópia de vírus é executada, ela procura o arquivo C: _VAC.TXT e imediatamente retorna ao programa host se esse arquivo existir. O vírus também exibe a mensagem aqui:

Você está protegido por um poder devine

~ + DarK.MeSsiAh + ~ não tocará em seus arquivos

Infector DOS COM e EXE

A parte principal do vírus é um infectador ordinário de arquivos DOS. O vírus é criptografado e, quando um arquivo infectado é executado, o loop de descriptografia restaura o código do vírus para o formato não criptografado e passa para a rotina principal de vírus. O vírus então procura por arquivos DOS COM e EXE e os infecta. Ao infectar, o vírus criptografa e grava seu código no final do arquivo e modifica o cabeçalho do arquivo.

O vírus procura por arquivos e os infecta no diretório atual, nos diretórios pai e na árvore de diretórios em todas as unidades de C: para G :. O vírus verifica nomes de arquivos e não infecta: COMMAND, GA *, NP *, arquivos GW *; executa a rotina de infecção do script mIRC se o arquivo MI * (MIRC.EXE, MIRC32.EXE) for encontrado; corrompe arquivos antivírus: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - o vírus sobrescreve-os com um código que exibe a mensagem e retorna ao DOS quando arquivo infectado é executado:

~ + DarK.MeSsiAh + ~ um toque digital de darKness! Escrito por SeptiC [TI]

O vírus também exclui o arquivo ANTI-VIR.DAT, se existir.

Infectando arquivos BAT

O vírus também procura por arquivos BAT e HTML e os infecta nos mesmos diretórios. Enquanto infecta arquivos BAT, o vírus grava no final do arquivo comandos DOS que substituem o comando DOS "dir" por um conjunto de duas instruções: a primeira executa um conta-gotas PORNO.COM, a segunda executa a instrução DOS "dir" . Como resultado, em qualquer instrução "dir", o dropper de vírus é executado.

O vírus cria seu arquivo dropper PORNO.COM no diretório Command do Windows. Para localizar esse diretório, o vírus tenta três variantes:

C: WINDOWSCOMMAND

C: WIN95COMMAND

C: WIN98COMMAND

Se nenhum deles for válido, o vírus descartará esse arquivo no diretório atual. O vírus, em seguida, abre o arquivo C: AUTOEXEC.BAT e o infecta da mesma maneira que para outros arquivos BAT.

Infectando arquivos HTML

Ao infectar um arquivo HTML, o vírus cria, no mesmo diretório, o dropper infectado com o nome PATCH.COM e anexa ao final do arquivo HTML um pequeno conjunto de comandos HTML que exibe a mensagem:

Baixe o patch mais recente!

Clique aqui!

O "clique aqui!" é um link que baixa e executa o dropper de vírus PATCH.COM, quando este link é ativado. Como resultado, as páginas HTML infectadas são "continuadas" com um texto de vírus que oferece download de uma atualização, mas espalha o código do vírus.

script mIRC

O vírus procura por um cliente mIRC instalado no sistema e cria um novo arquivo SCRIPT.INI no mesmo diretório. O vírus procura o mIRC em seis diretórios e não descarta seu componente mIRC se nenhum dos diretórios for encontrado:

C: MIRC

C: MIRC32

C: PROGRAMMIRC

C: PROGRAMMIRC32

C: PROGRA ~ 1MIRC

C: PROGRA ~ 1MIRC32

Ao infectar o cliente mIRC, o vírus usa o mesmo truque que outros vírus mIRC fazem: ele substitui o arquivo de script mIRC padrão SCRIPT.INI por um infectado. Quando um cliente mIRC inicia com um script infectado, ele aceita esse arquivo e segue suas instruções.

O SCRIPT.INI infectado contém vários comandos. A principal delas é a instrução de envio de vírus: quando qualquer usuário envia / recebe qualquer arquivo, o vírus envia para esse usuário seu arquivo infectado, PORNO.COM.

O vírus também envia mensagens para o canal e usuários no canal. Quando um cliente infectado se conecta a um servidor de IRC, o vírus envia a mensagem para um usuário com o apelido "SeptiC_dm":

Eu sou seu servo! Eu fui transformado em um zelote das trevas

Se a string "D.Messiah" aparecer em uma mensagem no canal, o vírus envia sua própria mensagem para todos os usuários no canal:

Somente em seus sonhos você pode ser verdadeiramente livre!

~ + DarK.MeSsiAh + ~ Escrito por SeptiC [TI]

Na seqüência "666", o vírus altera o tópico do canal (exibido no cabeçalho da janela do canal), se o usuário infectado tiver privilégios suficientes. A nova sequência de tópicos é exibida da seguinte maneira:

~ + DarK.MeSsiAh + ~ um toque digital de darKness! Escrito por SeptiC [TI]

No texto "rezar", o vírus define o modo de operador do canal para um usuário que posta este texto e envia a mensagem para o canal:

Eu obedeço meu mestre! viva satanás

No texto "sacrifício", todos os usuários infectados são expulsos do canal com a mensagem:

 Sua palavra é meu comando, poder para satanás!