DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

IRC-Worm.DOS.Septic

Kategorie IRC-Worm
Plattform DOS
Beschreibung

Technische Details

Dies ist ein Virus-Wurm, der sich durch mIRC-Kanäle verbreitet, indem er ein mIRC-Skriptprogramm verwendet und versucht, HTML-Dateien zu beeinflussen, die entfernte Computer infizieren, wenn ein Internet-Browser infizierte HTML-Seiten liest.

Das Virus manifestiert sich am 1. und 2. eines jeden Monats. Es zeigt Nachrichten an und führt dann einen Videoeffekt aus. Durch die Verwendung von VGA-Funktionen ändert der Virus die Farben des Monitors und verwandelt ihn von Weiß-auf-Schwarz zu Schwarz-auf-Weiß und zurück. Die Nachrichten lauten wie folgt:

1. Tag:
Nur in deinen Träumen kannst du wirklich frei sein!
~ + DarK.MeSsiAh + ~ geschrieben von SeptiC [TI]
Tag 2:
Reines Böses kommt von innen! ~ + DarK.MeSsiAh + ~
Geschrieben von SeptiC [TI]

Der Virus unterstützt auch einen "Schutz", der Virusinfektionsroutinen deaktiviert. Wenn eine Viruskopie ausgeführt wird, sucht sie nach der Datei C: _VAC.TXT und kehrt sofort zum Hostprogramm zurück, wenn eine solche Datei existiert. Der Virus zeigt auch hier die Nachricht an:


Du bist durch eine göttliche Macht geschützt
~ + DarK.MeSsiAh + ~ berührt Ihre Dateien nicht

DOS COM und EXE-Infektor

Der Hauptteil des Virus ist ein gewöhnlicher parasitärer DOS-Datei-Infektor. Der Virus ist verschlüsselt, und wenn eine infizierte Datei ausgeführt wird, stellt die Entschlüsselungsschleife den Viruscode in unverschlüsselter Form wieder her und springt zur Hauptvirenroutine. Der Virus sucht dann nach DOS-COM- und EXE-Dateien und infiziert sie. Beim Infizieren verschlüsselt und schreibt der Virus seinen Code an das Ende der Datei und ändert den Dateikopf.

Der Virus sucht nach Dateien und infiziert sie im aktuellen Verzeichnis, in den übergeordneten Verzeichnissen und in der Verzeichnisstruktur aller Laufwerke von C: bis G :. Der Virus überprüft Dateinamen und infiziert nicht: COMMAND, GA *, NP *, GW * Dateien; Führt eine mIRC-Skript-Infektionsroutine aus, wenn die Datei MI * (MIRC.EXE, MIRC32.EXE) gefunden wird; beschädigt Antiviren-Dateien: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - der Virus überschreibt sie mit einem Code, der die Nachricht anzeigt und kehrt zu DOS zurück, wenn ein infizierte Datei wird ausgeführt:


~ + DarK.MeSsiAh + ~ ein digitaler Touch von DarKness! Geschrieben von SeptiC [TI]

Der Virus löscht auch die ANTI-VIR.DAT-Datei, wenn sie existiert.

Infizierte BAT-Dateien

Der Virus sucht auch nach BAT- und HTML-Dateien und infiziert sie in denselben Verzeichnissen. Beim Infizieren von BAT-Dateien schreibt der Virus am Ende der Datei DOS-Befehle, die den DOS-Befehl "dir" durch zwei Anweisungen ersetzen: Der erste führt einen Virus-Dropper PORNO.COM aus, der zweite führt den DOS-Befehl dir aus . Als Ergebnis wird bei jedem "dir" Befehl der Virus Dropper ausgeführt.

Der Virus erstellt seine Dropper-Datei PORNO.COM im Windows-Befehlsverzeichnis. Um dieses Verzeichnis zu finden, versucht der Virus drei Varianten:


C: WINDOWSCOMMAND
C: WIN95COMMAND
C: WIN98COMMAND

Wenn keiner von ihnen gültig ist, löscht der Virus diese Datei im aktuellen Verzeichnis. Der Virus öffnet dann die Datei C: AUTOEXEC.BAT und infiziert sie auf die gleiche Weise wie für andere BAT-Dateien.

Infizierte HTML-Dateien

Beim Infizieren einer HTML-Datei erstellt der Virus im selben Verzeichnis die infizierte Pipette mit dem Namen PATCH.COM und fügt am Ende der HTML-Datei eine kurze Menge HTML-Befehle an, die die folgende Meldung anzeigen:


Laden Sie den neuesten Patch herunter!
Klick hier!

Das "Klicken Sie hier!" ist ein Link, der den PATCH.COM-Virus-Dropper herunterlädt und ausführt, wenn dieser Link aktiviert ist. Als Folge werden infizierte HTML-Seiten mit einem Virentext "weitergeführt", der das Herunterladen eines Upgrades anbietet, aber stattdessen den Virencode verbreitet.

mIRC-Skript

Der Virus sucht nach einem mIRC-Client, der im System installiert ist, und erstellt eine neue SCRIPT.INI-Datei im selben Verzeichnis. Der Virus sucht in sechs Verzeichnissen nach mIRC und löscht seine mIRC-Komponente nicht, wenn keines der Verzeichnisse gefunden wird:


C: MIRC
C: MIRC32
C: PROGRAMMIRC
C: PROGRAMMIRC32
C: PROGRA ~ 1MIRC
C: PROGRA ~ 1MIRC32

Bei der Infektion des mIRC-Clients verwendet der Virus denselben Trick wie andere mIRC-Viren: Er überschreibt die Standard-mIRC-Skriptdatei SCRIPT.INI mit einer infizierten. Wenn ein mIRC-Client mit einem infizierten Skript startet, akzeptiert er diese Datei und befolgt seine Anweisungen.

Die infizierte SCRIPT.INI enthält mehrere Befehle. Die wichtigste ist die Viren-sendende Anweisung: Wenn ein Benutzer irgendwelche Dateien sendet / empfängt, sendet der Virus an diesen Benutzer seine infizierte Tropferdatei PORNO.COM.

Der Virus sendet auch Nachrichten an den Kanal und die Benutzer auf dem Kanal. Wenn ein infizierter Client eine Verbindung mit einem IRC-Server herstellt, sendet der Virus die Nachricht an einen Benutzer mit dem Spitznamen "SeptiC_dm":


Ich bin dein Diener! Ich wurde zu einem Eiferer der Finsternis gemacht

Wenn der String "D.Messiah" in einer Nachricht im Kanal erscheint, sendet der Virus seine eigene Nachricht an alle Benutzer auf dem Kanal:


Nur in deinen Träumen kannst du wirklich frei sein!
~ + DarK.MeSsiAh + ~ Geschrieben von SeptiC [TI]

Auf der Zeichenfolge "666" ändert der Virus das Thema des Kanals (der in der Kopfzeile des Kanalfensters angezeigt wird), wenn der infizierte Benutzer über ausreichende Berechtigungen verfügt. Die neue Themenzeichenfolge wird wie folgt angezeigt:


~ + DarK.MeSsiAh + ~ ein digitaler Touch von DarKness! Geschrieben von SeptiC [TI]

Im Text "pray" legt der Virus den Kanaloperatormodus auf einen Benutzer fest, der diesen Text veröffentlicht und die Nachricht an den Kanal sendet:


Ich gehorche meinem Meister! lang lebe Satan

Auf dem "Opfer" -Text werden alle infizierten Benutzer mit der Nachricht aus dem Kanal geworfen:

Dein Wort ist mein Befehl, Macht zu Satan!


Link zum Original