ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.
Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe | IRC-Worm |
Plataforma | DOS |
Descrição |
Detalhes técnicosEste é um vírus que se espalha através dos canais mIRC usando um programa de script mIRC e tentando afetar arquivos HTML para infectar computadores remotos quando um navegador da Internet lê páginas HTML infectadas. O vírus se manifesta nos dias 1 e 2 de cada mês. Ele exibe mensagens e, em seguida, executa um efeito de vídeo. Usando funções VGA, o vírus altera as cores do monitor, transformando-o de branco sobre preto para preto sobre branco e vice-versa. As mensagens são as seguintes: 1º dia: O vírus também suporta uma "proteção" que desativa as rotinas de infecção por vírus. Quando uma cópia de vírus é executada, ela procura o arquivo C: _VAC.TXT e imediatamente retorna ao programa host se esse arquivo existir. O vírus também exibe a mensagem aqui:
Infector DOS COM e EXEA parte principal do vírus é um infectador ordinário de arquivos DOS. O vírus é criptografado e, quando um arquivo infectado é executado, o loop de descriptografia restaura o código do vírus para o formato não criptografado e passa para a rotina principal de vírus. O vírus então procura por arquivos DOS COM e EXE e os infecta. Ao infectar, o vírus criptografa e grava seu código no final do arquivo e modifica o cabeçalho do arquivo. O vírus procura por arquivos e os infecta no diretório atual, nos diretórios pai e na árvore de diretórios em todas as unidades de C: para G :. O vírus verifica nomes de arquivos e não infecta: COMMAND, GA *, NP *, arquivos GW *; executa a rotina de infecção do script mIRC se o arquivo MI * (MIRC.EXE, MIRC32.EXE) for encontrado; corrompe arquivos antivírus: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - o vírus sobrescreve-os com um código que exibe a mensagem e retorna ao DOS quando arquivo infectado é executado:
O vírus também exclui o arquivo ANTI-VIR.DAT, se existir. Infectando arquivos BATO vírus também procura por arquivos BAT e HTML e os infecta nos mesmos diretórios. Enquanto infecta arquivos BAT, o vírus grava no final do arquivo comandos DOS que substituem o comando DOS "dir" por um conjunto de duas instruções: a primeira executa um conta-gotas PORNO.COM, a segunda executa a instrução DOS "dir" . Como resultado, em qualquer instrução "dir", o dropper de vírus é executado. O vírus cria seu arquivo dropper PORNO.COM no diretório Command do Windows. Para localizar esse diretório, o vírus tenta três variantes:
Se nenhum deles for válido, o vírus descartará esse arquivo no diretório atual. O vírus, em seguida, abre o arquivo C: AUTOEXEC.BAT e o infecta da mesma maneira que para outros arquivos BAT. Infectando arquivos HTMLAo infectar um arquivo HTML, o vírus cria, no mesmo diretório, o dropper infectado com o nome PATCH.COM e anexa ao final do arquivo HTML um pequeno conjunto de comandos HTML que exibe a mensagem:
O "clique aqui!" é um link que baixa e executa o dropper de vírus PATCH.COM, quando este link é ativado. Como resultado, as páginas HTML infectadas são "continuadas" com um texto de vírus que oferece download de uma atualização, mas espalha o código do vírus. script mIRCO vírus procura por um cliente mIRC instalado no sistema e cria um novo arquivo SCRIPT.INI no mesmo diretório. O vírus procura o mIRC em seis diretórios e não descarta seu componente mIRC se nenhum dos diretórios for encontrado:
Ao infectar o cliente mIRC, o vírus usa o mesmo truque que outros vírus mIRC fazem: ele substitui o arquivo de script mIRC padrão SCRIPT.INI por um infectado. Quando um cliente mIRC inicia com um script infectado, ele aceita esse arquivo e segue suas instruções. O SCRIPT.INI infectado contém vários comandos. A principal delas é a instrução de envio de vírus: quando qualquer usuário envia / recebe qualquer arquivo, o vírus envia para esse usuário seu arquivo infectado, PORNO.COM. O vírus também envia mensagens para o canal e usuários no canal. Quando um cliente infectado se conecta a um servidor de IRC, o vírus envia a mensagem para um usuário com o apelido "SeptiC_dm":
Se a string "D.Messiah" aparecer em uma mensagem no canal, o vírus envia sua própria mensagem para todos os usuários no canal:
Na seqüência "666", o vírus altera o tópico do canal (exibido no cabeçalho da janela do canal), se o usuário infectado tiver privilégios suficientes. A nova sequência de tópicos é exibida da seguinte maneira:
No texto "rezar", o vírus define o modo de operador do canal para um usuário que posta este texto e envia a mensagem para o canal:
No texto "sacrifício", todos os usuários infectados são expulsos do canal com a mensagem:
|
Link para o original |
|