ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

IRC-Worm.DOS.Septic

Classe IRC-Worm
Plataforma DOS
Descrição

Detalhes técnicos

Este é um vírus que se espalha através dos canais mIRC usando um programa de script mIRC e tentando afetar arquivos HTML para infectar computadores remotos quando um navegador da Internet lê páginas HTML infectadas.

O vírus se manifesta nos dias 1 e 2 de cada mês. Ele exibe mensagens e, em seguida, executa um efeito de vídeo. Usando funções VGA, o vírus altera as cores do monitor, transformando-o de branco sobre preto para preto sobre branco e vice-versa. As mensagens são as seguintes:

1º dia:
Somente em seus sonhos você pode ser verdadeiramente livre!
~ + DarK.MeSsiAh + ~ escrito por SeptiC [TI]
2º dia:
O mal puro vem de dentro! ~ + DarK.MeSsiAh + ~
Escrito por SeptiC [TI]

O vírus também suporta uma "proteção" que desativa as rotinas de infecção por vírus. Quando uma cópia de vírus é executada, ela procura o arquivo C: _VAC.TXT e imediatamente retorna ao programa host se esse arquivo existir. O vírus também exibe a mensagem aqui:


Você está protegido por um poder devine
~ + DarK.MeSsiAh + ~ não tocará em seus arquivos

Infector DOS COM e EXE

A parte principal do vírus é um infectador ordinário de arquivos DOS. O vírus é criptografado e, quando um arquivo infectado é executado, o loop de descriptografia restaura o código do vírus para o formato não criptografado e passa para a rotina principal de vírus. O vírus então procura por arquivos DOS COM e EXE e os infecta. Ao infectar, o vírus criptografa e grava seu código no final do arquivo e modifica o cabeçalho do arquivo.

O vírus procura por arquivos e os infecta no diretório atual, nos diretórios pai e na árvore de diretórios em todas as unidades de C: para G :. O vírus verifica nomes de arquivos e não infecta: COMMAND, GA *, NP *, arquivos GW *; executa a rotina de infecção do script mIRC se o arquivo MI * (MIRC.EXE, MIRC32.EXE) for encontrado; corrompe arquivos antivírus: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - o vírus sobrescreve-os com um código que exibe a mensagem e retorna ao DOS quando arquivo infectado é executado:


~ + DarK.MeSsiAh + ~ um toque digital de darKness! Escrito por SeptiC [TI]

O vírus também exclui o arquivo ANTI-VIR.DAT, se existir.

Infectando arquivos BAT

O vírus também procura por arquivos BAT e HTML e os infecta nos mesmos diretórios. Enquanto infecta arquivos BAT, o vírus grava no final do arquivo comandos DOS que substituem o comando DOS "dir" por um conjunto de duas instruções: a primeira executa um conta-gotas PORNO.COM, a segunda executa a instrução DOS "dir" . Como resultado, em qualquer instrução "dir", o dropper de vírus é executado.

O vírus cria seu arquivo dropper PORNO.COM no diretório Command do Windows. Para localizar esse diretório, o vírus tenta três variantes:


C: WINDOWSCOMMAND
C: WIN95COMMAND
C: WIN98COMMAND

Se nenhum deles for válido, o vírus descartará esse arquivo no diretório atual. O vírus, em seguida, abre o arquivo C: AUTOEXEC.BAT e o infecta da mesma maneira que para outros arquivos BAT.

Infectando arquivos HTML

Ao infectar um arquivo HTML, o vírus cria, no mesmo diretório, o dropper infectado com o nome PATCH.COM e anexa ao final do arquivo HTML um pequeno conjunto de comandos HTML que exibe a mensagem:


Baixe o patch mais recente!
Clique aqui!

O "clique aqui!" é um link que baixa e executa o dropper de vírus PATCH.COM, quando este link é ativado. Como resultado, as páginas HTML infectadas são "continuadas" com um texto de vírus que oferece download de uma atualização, mas espalha o código do vírus.

script mIRC

O vírus procura por um cliente mIRC instalado no sistema e cria um novo arquivo SCRIPT.INI no mesmo diretório. O vírus procura o mIRC em seis diretórios e não descarta seu componente mIRC se nenhum dos diretórios for encontrado:


C: MIRC
C: MIRC32
C: PROGRAMMIRC
C: PROGRAMMIRC32
C: PROGRA ~ 1MIRC
C: PROGRA ~ 1MIRC32

Ao infectar o cliente mIRC, o vírus usa o mesmo truque que outros vírus mIRC fazem: ele substitui o arquivo de script mIRC padrão SCRIPT.INI por um infectado. Quando um cliente mIRC inicia com um script infectado, ele aceita esse arquivo e segue suas instruções.

O SCRIPT.INI infectado contém vários comandos. A principal delas é a instrução de envio de vírus: quando qualquer usuário envia / recebe qualquer arquivo, o vírus envia para esse usuário seu arquivo infectado, PORNO.COM.

O vírus também envia mensagens para o canal e usuários no canal. Quando um cliente infectado se conecta a um servidor de IRC, o vírus envia a mensagem para um usuário com o apelido "SeptiC_dm":


Eu sou seu servo! Eu fui transformado em um zelote das trevas

Se a string "D.Messiah" aparecer em uma mensagem no canal, o vírus envia sua própria mensagem para todos os usuários no canal:


Somente em seus sonhos você pode ser verdadeiramente livre!
~ + DarK.MeSsiAh + ~ Escrito por SeptiC [TI]

Na seqüência "666", o vírus altera o tópico do canal (exibido no cabeçalho da janela do canal), se o usuário infectado tiver privilégios suficientes. A nova sequência de tópicos é exibida da seguinte maneira:


~ + DarK.MeSsiAh + ~ um toque digital de darKness! Escrito por SeptiC [TI]

No texto "rezar", o vírus define o modo de operador do canal para um usuário que posta este texto e envia a mensagem para o canal:


Eu obedeço meu mestre! viva satanás

No texto "sacrifício", todos os usuários infectados são expulsos do canal com a mensagem:

Sua palavra é meu comando, poder para satanás!


Link para o original