Classe principal: VirWare
Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.Classe: IRC-Worm
Esse tipo de worm se espalha via Internet Relay Chat. Como worms de e-mail, os Worms de IRC têm duas formas de se espalharem pelos canais de IRC. O primeiro envolve o envio de uma URL que leva a uma cópia do worm. A segunda técnica é enviar um arquivo infectado para um usuário do canal de IRC. No entanto, o destinatário do arquivo infectado deve aceitar o arquivo, salvá-lo no disco e abri-lo (iniciá-lo).Plataforma: DOS
No platform descriptionDescrição
Detalhes técnicos
Este é um vírus que se espalha através dos canais mIRC usando um programa de script mIRC e tentando afetar arquivos HTML para infectar computadores remotos quando um navegador da Internet lê páginas HTML infectadas.
O vírus se manifesta nos dias 1 e 2 de cada mês. Ele exibe mensagens e, em seguida, executa um efeito de vídeo. Usando funções VGA, o vírus altera as cores do monitor, transformando-o de branco sobre preto para preto sobre branco e vice-versa. As mensagens são as seguintes:
1º dia:Somente em seus sonhos você pode ser verdadeiramente livre!~ + DarK.MeSsiAh + ~ escrito por SeptiC [TI]2º dia:O mal puro vem de dentro! ~ + DarK.MeSsiAh + ~Escrito por SeptiC [TI]
O vírus também suporta uma "proteção" que desativa as rotinas de infecção por vírus. Quando uma cópia de vírus é executada, ela procura o arquivo C: _VAC.TXT e imediatamente retorna ao programa host se esse arquivo existir. O vírus também exibe a mensagem aqui:
Você está protegido por um poder devine~ + DarK.MeSsiAh + ~ não tocará em seus arquivos
Infector DOS COM e EXE
A parte principal do vírus é um infectador ordinário de arquivos DOS. O vírus é criptografado e, quando um arquivo infectado é executado, o loop de descriptografia restaura o código do vírus para o formato não criptografado e passa para a rotina principal de vírus. O vírus então procura por arquivos DOS COM e EXE e os infecta. Ao infectar, o vírus criptografa e grava seu código no final do arquivo e modifica o cabeçalho do arquivo.
O vírus procura por arquivos e os infecta no diretório atual, nos diretórios pai e na árvore de diretórios em todas as unidades de C: para G :. O vírus verifica nomes de arquivos e não infecta: COMMAND, GA *, NP *, arquivos GW *; executa a rotina de infecção do script mIRC se o arquivo MI * (MIRC.EXE, MIRC32.EXE) for encontrado; corrompe arquivos antivírus: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - o vírus sobrescreve-os com um código que exibe a mensagem e retorna ao DOS quando arquivo infectado é executado:
~ + DarK.MeSsiAh + ~ um toque digital de darKness! Escrito por SeptiC [TI]
O vírus também exclui o arquivo ANTI-VIR.DAT, se existir.
Infectando arquivos BAT
O vírus também procura por arquivos BAT e HTML e os infecta nos mesmos diretórios. Enquanto infecta arquivos BAT, o vírus grava no final do arquivo comandos DOS que substituem o comando DOS "dir" por um conjunto de duas instruções: a primeira executa um conta-gotas PORNO.COM, a segunda executa a instrução DOS "dir" . Como resultado, em qualquer instrução "dir", o dropper de vírus é executado.
O vírus cria seu arquivo dropper PORNO.COM no diretório Command do Windows. Para localizar esse diretório, o vírus tenta três variantes:
C: WINDOWSCOMMANDC: WIN95COMMANDC: WIN98COMMAND
Se nenhum deles for válido, o vírus descartará esse arquivo no diretório atual. O vírus, em seguida, abre o arquivo C: AUTOEXEC.BAT e o infecta da mesma maneira que para outros arquivos BAT.
Infectando arquivos HTML
Ao infectar um arquivo HTML, o vírus cria, no mesmo diretório, o dropper infectado com o nome PATCH.COM e anexa ao final do arquivo HTML um pequeno conjunto de comandos HTML que exibe a mensagem:
Baixe o patch mais recente!Clique aqui!
O "clique aqui!" é um link que baixa e executa o dropper de vírus PATCH.COM, quando este link é ativado. Como resultado, as páginas HTML infectadas são "continuadas" com um texto de vírus que oferece download de uma atualização, mas espalha o código do vírus.
script mIRC
O vírus procura por um cliente mIRC instalado no sistema e cria um novo arquivo SCRIPT.INI no mesmo diretório. O vírus procura o mIRC em seis diretórios e não descarta seu componente mIRC se nenhum dos diretórios for encontrado:
C: MIRCC: MIRC32C: PROGRAMMIRCC: PROGRAMMIRC32C: PROGRA ~ 1MIRCC: PROGRA ~ 1MIRC32
Ao infectar o cliente mIRC, o vírus usa o mesmo truque que outros vírus mIRC fazem: ele substitui o arquivo de script mIRC padrão SCRIPT.INI por um infectado. Quando um cliente mIRC inicia com um script infectado, ele aceita esse arquivo e segue suas instruções.
O SCRIPT.INI infectado contém vários comandos. A principal delas é a instrução de envio de vírus: quando qualquer usuário envia / recebe qualquer arquivo, o vírus envia para esse usuário seu arquivo infectado, PORNO.COM.
O vírus também envia mensagens para o canal e usuários no canal. Quando um cliente infectado se conecta a um servidor de IRC, o vírus envia a mensagem para um usuário com o apelido "SeptiC_dm":
Eu sou seu servo! Eu fui transformado em um zelote das trevas
Se a string "D.Messiah" aparecer em uma mensagem no canal, o vírus envia sua própria mensagem para todos os usuários no canal:
Somente em seus sonhos você pode ser verdadeiramente livre!~ + DarK.MeSsiAh + ~ Escrito por SeptiC [TI]
Na seqüência "666", o vírus altera o tópico do canal (exibido no cabeçalho da janela do canal), se o usuário infectado tiver privilégios suficientes. A nova sequência de tópicos é exibida da seguinte maneira:
~ + DarK.MeSsiAh + ~ um toque digital de darKness! Escrito por SeptiC [TI]
No texto "rezar", o vírus define o modo de operador do canal para um usuário que posta este texto e envia a mensagem para o canal:
Eu obedeço meu mestre! viva satanás
No texto "sacrifício", todos os usuários infectados são expulsos do canal com a mensagem:
Sua palavra é meu comando, poder para satanás!
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com