Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o virový červ, který se šíří prostřednictvím kanálů mIRC pomocí programu skriptu mIRC a snaží se ovlivnit soubory HTML, které infikují vzdálené počítače, když internetový prohlížeč přečte infikované stránky HTML.

Virus se projevuje 1. a 2. měsícem každého měsíce. Zobrazuje zprávy a poté spustí video efekt. Používáním funkcí VGA virus mění barvy monitoru tak, že se mění z bílého na černou na černobílou a zpět. Zprávy jsou následující:

1. den:

Pouze ve vašich snech můžete být skutečně svobodní!

~ + DarK.MeSsiAh + ~ napsal SeptiC [TI]

2. den:

Čisté zlo pochází zevnitř! ~ + DarK.MeSsiAh + ~

Napsal SeptiC [TI]

Virus také podporuje "ochranu", která zakazuje rutiny virové infekce. Při spuštění virové kopie hledá soubor C: _VAC.TXT a okamžitě se vrátí do hostitelského programu, pokud existuje takový soubor. Virus také zobrazí zprávu zde:



Jste chráněni tím, že získáte energii

~ + DarK.MeSsiAh + ~ nedotkne se vašich souborů

DOS COM a EXE

Hlavní část viru je běžný parazitický infiktor souboru DOS. Virus je zašifrován a při spuštění infikovaného souboru dešifrovací smyčka obnoví kód viru do nešifrované podoby a přeskočí na hlavní rutinu viru. Virus pak vyhledává soubory DOS COM a EXE a infikuje je. Během infikování virus šifruje a zapisuje svůj kód na konec souboru a upravuje záhlaví souboru.

Virus vyhledává soubory a infikuje je v aktuálním adresáři, v nadřízených adresářích av adresářovém stromu na všech jednotkách od C: do G :. Virus kontroluje názvy souborů a neinfikuje: COMMAND,? GA *,? NP *, ??? GW * soubory; spustí rutinu mIRC skriptu infekce, pokud je nalezen soubor MI * (MIRC.EXE, MIRC32.EXE); poškozuje antivirové soubory: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - virus je přepíše kódem, který zobrazuje zprávu a vrátí se do DOSu infikovaný soubor je spuštěn:



~ + DarK.MeSsiAh + ~ Digitální Touch of DarKness! Napsal SeptiC [TI]

Virus také odstraní soubor ANTI-VIR.DAT, pokud existuje.

Infikování souborů BAT

Virus také vyhledává soubory BAT a HTML a infikuje je ve stejných adresářích. Během infikování souborů BAT virus píše do konce souboru DOS příkazy, které nahradí příkaz DOS "dir" sadou dvou instrukcí: první spustí virus dropper PORNO.COM, druhý provede příkaz DOS "dir" . Výsledkem je, že při každé instrukci "dir" je spuštěn virus dropper.

Virus vytvoří svůj dropper soubor PORNO.COM v adresáři Windows Command. Chcete-li vyhledat tento adresář, virus se pokusí najít tři varianty:



C: WINDOWSCOMMAND

C: WIN95COMMAND

C: WIN98COMMAND

Pokud není některý z nich platný, virus tento soubor v aktuálním adresáři přeruší. Virus pak otevře soubor C: AUTOEXEC.BAT a infikuje jej stejným způsobem jako u jiných souborů BAT.

Nahrazení souborů HTML

Při infikování souboru HTML virus vytvoří ve stejném adresáři infikovaný dropper s názvem PATCH.COM a připojuje ke konci souboru HTML krátkou sadu příkazů HTML, které zobrazí zprávu:



Stáhněte si poslední patch!

Klikněte zde!

"Klikněte zde!" je odkaz, který ke stažení a spuštění kapky viru PATCH.COM, když je tento odkaz aktivován. Výsledkem je, že infikované stránky HTML "pokračovaly" v virovém textu, který nabízí stahování inovace, ale místo toho šíří kód viru.

mIRC skript

Virus vyhledává klient mIRC nainstalovaný v systému a vytvoří nový soubor SCRIPT.INI ve stejném adresáři. Virus vyhledává mIRC v šesti adresářích a nezmizí svou komponentu mIRC, pokud není nalezen žádný adresář:



C: MIRC

C: MIRC32

C: PROGRAMMIRC

C: PROGRAMMIRC32

C: PROGRA ~ 1MIRC

C: PROGRA ~ 1MIRC32

Při infikování klienta mIRC virus používá stejný trik jako ostatní viry mIRC: přepisuje standardní soubor mIRC skriptu SCRIPT.INI s infikovaným. Když klient mIRC spustí infikovaný skript, přijme tento soubor a postupuje podle jeho pokynů.

Infikovaný soubor SCRIPT.INI obsahuje několik příkazů. Nejdůležitější je instrukce pro odesílání virů: pokud uživatel odesílá / přijímá nějaké soubory, virus pošle tomuto uživateli infikovaný dropper soubor PORNO.COM.

Virus rovněž odesílá zprávy kanálu a uživatelům na kanálu. Když se infikovaný klient připojí k IRC serveru, virus odešle zprávu uživateli se jménem "SeptiC_dm":



Jsem tvůj služebník! Byl jsem proměněný do zloby temnoty

Pokud se ve zprávě v kanálu objeví řetězec "D.Messiah", virus odešle vlastní zprávu všem uživatelům v kanálu:



Pouze ve vašich snech můžete být skutečně svobodní!

~ + DarK.MeSsiAh + ~ Napsal SeptiC [TI]

V řetězci "666" virus změní téma kanálu (zobrazené v záhlaví okna kanálu), pokud má infikovaný uživatel dostatek oprávnění. Nový řetězec témat se zobrazí takto:



~ + DarK.MeSsiAh + ~ Digitální Touch of DarKness! Napsal SeptiC [TI]

V textu "modlit se" virus nastavuje režim operátora kanálu na uživatele, který tento text odesílá a odešle zprávu kanálu:



Poslouchejte svého pána! dlouho žít satan

Na "obětování" textu jsou všichni infikovaní uživatelé vyřazeni z kanálu se zprávou:

Vaše slovo je moje přikázání, síla satanů!

Odkaz na originál

Třída	IRC-Worm
Platfoma	DOS
Popis	Technické údaje Jedná se o virový červ, který se šíří prostřednictvím kanálů mIRC pomocí programu skriptu mIRC a snaží se ovlivnit soubory HTML, které infikují vzdálené počítače, když internetový prohlížeč přečte infikované stránky HTML. Virus se projevuje 1. a 2. měsícem každého měsíce. Zobrazuje zprávy a poté spustí video efekt. Používáním funkcí VGA virus mění barvy monitoru tak, že se mění z bílého na černou na černobílou a zpět. Zprávy jsou následující: 1. den: Pouze ve vašich snech můžete být skutečně svobodní! ~ + DarK.MeSsiAh + ~ napsal SeptiC [TI] 2. den: Čisté zlo pochází zevnitř! ~ + DarK.MeSsiAh + ~ Napsal SeptiC [TI] Virus také podporuje "ochranu", která zakazuje rutiny virové infekce. Při spuštění virové kopie hledá soubor C: _VAC.TXT a okamžitě se vrátí do hostitelského programu, pokud existuje takový soubor. Virus také zobrazí zprávu zde: Jste chráněni tím, že získáte energii ~ + DarK.MeSsiAh + ~ nedotkne se vašich souborů DOS COM a EXE Hlavní část viru je běžný parazitický infiktor souboru DOS. Virus je zašifrován a při spuštění infikovaného souboru dešifrovací smyčka obnoví kód viru do nešifrované podoby a přeskočí na hlavní rutinu viru. Virus pak vyhledává soubory DOS COM a EXE a infikuje je. Během infikování virus šifruje a zapisuje svůj kód na konec souboru a upravuje záhlaví souboru. Virus vyhledává soubory a infikuje je v aktuálním adresáři, v nadřízených adresářích av adresářovém stromu na všech jednotkách od C: do G :. Virus kontroluje názvy souborů a neinfikuje: COMMAND,? GA ,? NP , ??? GW * soubory; spustí rutinu mIRC skriptu infekce, pokud je nalezen soubor MI * (MIRC.EXE, MIRC32.EXE); poškozuje antivirové soubory: F- , TO , TB , SC , AV * (F-PROT, TBAV, SCAN, AVP) - virus je přepíše kódem, který zobrazuje zprávu a vrátí se do DOSu infikovaný soubor je spuštěn: ~ + DarK.MeSsiAh + ~ Digitální Touch of DarKness! Napsal SeptiC [TI] Virus také odstraní soubor ANTI-VIR.DAT, pokud existuje. Infikování souborů BAT Virus také vyhledává soubory BAT a HTML a infikuje je ve stejných adresářích. Během infikování souborů BAT virus píše do konce souboru DOS příkazy, které nahradí příkaz DOS "dir" sadou dvou instrukcí: první spustí virus dropper PORNO.COM, druhý provede příkaz DOS "dir" . Výsledkem je, že při každé instrukci "dir" je spuštěn virus dropper. Virus vytvoří svůj dropper soubor PORNO.COM v adresáři Windows Command. Chcete-li vyhledat tento adresář, virus se pokusí najít tři varianty: C: WINDOWSCOMMAND C: WIN95COMMAND C: WIN98COMMAND Pokud není některý z nich platný, virus tento soubor v aktuálním adresáři přeruší. Virus pak otevře soubor C: AUTOEXEC.BAT a infikuje jej stejným způsobem jako u jiných souborů BAT. Nahrazení souborů HTML Při infikování souboru HTML virus vytvoří ve stejném adresáři infikovaný dropper s názvem PATCH.COM a připojuje ke konci souboru HTML krátkou sadu příkazů HTML, které zobrazí zprávu: Stáhněte si poslední patch! Klikněte zde! "Klikněte zde!" je odkaz, který ke stažení a spuštění kapky viru PATCH.COM, když je tento odkaz aktivován. Výsledkem je, že infikované stránky HTML "pokračovaly" v virovém textu, který nabízí stahování inovace, ale místo toho šíří kód viru. mIRC skript Virus vyhledává klient mIRC nainstalovaný v systému a vytvoří nový soubor SCRIPT.INI ve stejném adresáři. Virus vyhledává mIRC v šesti adresářích a nezmizí svou komponentu mIRC, pokud není nalezen žádný adresář: C: MIRC C: MIRC32 C: PROGRAMMIRC C: PROGRAMMIRC32 C: PROGRA ~ 1MIRC C: PROGRA ~ 1MIRC32 Při infikování klienta mIRC virus používá stejný trik jako ostatní viry mIRC: přepisuje standardní soubor mIRC skriptu SCRIPT.INI s infikovaným. Když klient mIRC spustí infikovaný skript, přijme tento soubor a postupuje podle jeho pokynů. Infikovaný soubor SCRIPT.INI obsahuje několik příkazů. Nejdůležitější je instrukce pro odesílání virů: pokud uživatel odesílá / přijímá nějaké soubory, virus pošle tomuto uživateli infikovaný dropper soubor PORNO.COM. Virus rovněž odesílá zprávy kanálu a uživatelům na kanálu. Když se infikovaný klient připojí k IRC serveru, virus odešle zprávu uživateli se jménem "SeptiC_dm": Jsem tvůj služebník! Byl jsem proměněný do zloby temnoty Pokud se ve zprávě v kanálu objeví řetězec "D.Messiah", virus odešle vlastní zprávu všem uživatelům v kanálu: Pouze ve vašich snech můžete být skutečně svobodní! ~ + DarK.MeSsiAh + ~ Napsal SeptiC [TI] V řetězci "666" virus změní téma kanálu (zobrazené v záhlaví okna kanálu), pokud má infikovaný uživatel dostatek oprávnění. Nový řetězec témat se zobrazí takto: ~ + DarK.MeSsiAh + ~ Digitální Touch of DarKness! Napsal SeptiC [TI] V textu "modlit se" virus nastavuje režim operátora kanálu na uživatele, který tento text odesílá a odešle zprávu kanálu: Poslouchejte svého pána! dlouho žít satan Na "obětování" textu jsou všichni infikovaní uživatelé vyřazeni z kanálu se zprávou: Vaše slovo je moje přikázání, síla satanů!
	Odkaz na originál

IRC-Worm.DOS.Septic

Technické údaje

DOS COM a EXE

Infikování souborů BAT

Nahrazení souborů HTML

mIRC skript