DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Lösungen für:
Privatanwender
Unternehmen
Unternehmen
Unternehmen
Schwachstellen Bedrohungen
Home Bedrohungen IRC-Worm DOS

IRC-Worm.DOS.Septic

Kategorie
IRC-Worm
Plattform
DOS

Hauptgruppierung: VirWare

Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.

Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.

Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).

Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.

Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.

Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.

Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:

Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.

Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.

Kategorie: IRC-Worm

Diese Art von Wurm verbreitet sich über Internet Relay Chat.

Wie E-Mail-Würmer haben IRC-Würmer zwei Möglichkeiten, sich über IRC-Kanäle zu verbreiten. Die erste beinhaltet das Senden einer URL, die zu einer Kopie des Wurms führt. Die zweite Technik besteht darin, eine infizierte Datei an einen IRC-Kanalbenutzer zu senden. Der Empfänger der infizierten Datei muss jedoch die Datei akzeptieren, sie auf dem Datenträger speichern und sie öffnen (starten).


Mehr Informationen

Plattform: DOS

No platform description

Beschreibung

Technische Details

Dies ist ein Virus-Wurm, der sich durch mIRC-Kanäle verbreitet, indem er ein mIRC-Skriptprogramm verwendet und versucht, HTML-Dateien zu beeinflussen, die entfernte Computer infizieren, wenn ein Internet-Browser infizierte HTML-Seiten liest.

Das Virus manifestiert sich am 1. und 2. eines jeden Monats. Es zeigt Nachrichten an und führt dann einen Videoeffekt aus. Durch die Verwendung von VGA-Funktionen ändert der Virus die Farben des Monitors und verwandelt ihn von Weiß-auf-Schwarz zu Schwarz-auf-Weiß und zurück. Die Nachrichten lauten wie folgt: 

1. Tag:Nur in deinen Träumen kannst du wirklich frei sein!~ + DarK.MeSsiAh + ~ geschrieben von SeptiC [TI]Tag 2:Reines Böses kommt von innen! ~ + DarK.MeSsiAh + ~Geschrieben von SeptiC [TI]

Der Virus unterstützt auch einen "Schutz", der Virusinfektionsroutinen deaktiviert. Wenn eine Viruskopie ausgeführt wird, sucht sie nach der Datei C: _VAC.TXT und kehrt sofort zum Hostprogramm zurück, wenn eine solche Datei existiert. Der Virus zeigt auch hier die Nachricht an: 

Du bist durch eine göttliche Macht geschützt~ + DarK.MeSsiAh + ~ berührt Ihre Dateien nicht

DOS COM und EXE-Infektor

Der Hauptteil des Virus ist ein gewöhnlicher parasitärer DOS-Datei-Infektor. Der Virus ist verschlüsselt, und wenn eine infizierte Datei ausgeführt wird, stellt die Entschlüsselungsschleife den Viruscode in unverschlüsselter Form wieder her und springt zur Hauptvirenroutine. Der Virus sucht dann nach DOS-COM- und EXE-Dateien und infiziert sie. Beim Infizieren verschlüsselt und schreibt der Virus seinen Code an das Ende der Datei und ändert den Dateikopf.

Der Virus sucht nach Dateien und infiziert sie im aktuellen Verzeichnis, in den übergeordneten Verzeichnissen und in der Verzeichnisstruktur aller Laufwerke von C: bis G :. Der Virus überprüft Dateinamen und infiziert nicht: COMMAND, GA *, NP *, GW * Dateien; Führt eine mIRC-Skript-Infektionsroutine aus, wenn die Datei MI * (MIRC.EXE, MIRC32.EXE) gefunden wird; beschädigt Antiviren-Dateien: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - der Virus überschreibt sie mit einem Code, der die Nachricht anzeigt und kehrt zu DOS zurück, wenn ein infizierte Datei wird ausgeführt: 

~ + DarK.MeSsiAh + ~ ein digitaler Touch von DarKness! Geschrieben von SeptiC [TI]

Der Virus löscht auch die ANTI-VIR.DAT-Datei, wenn sie existiert.

Infizierte BAT-Dateien

Der Virus sucht auch nach BAT- und HTML-Dateien und infiziert sie in denselben Verzeichnissen. Beim Infizieren von BAT-Dateien schreibt der Virus am Ende der Datei DOS-Befehle, die den DOS-Befehl "dir" durch zwei Anweisungen ersetzen: Der erste führt einen Virus-Dropper PORNO.COM aus, der zweite führt den DOS-Befehl dir aus . Als Ergebnis wird bei jedem "dir" Befehl der Virus Dropper ausgeführt.

Der Virus erstellt seine Dropper-Datei PORNO.COM im Windows-Befehlsverzeichnis. Um dieses Verzeichnis zu finden, versucht der Virus drei Varianten: 

C: WINDOWSCOMMANDC: WIN95COMMANDC: WIN98COMMAND

Wenn keiner von ihnen gültig ist, löscht der Virus diese Datei im aktuellen Verzeichnis. Der Virus öffnet dann die Datei C: AUTOEXEC.BAT und infiziert sie auf die gleiche Weise wie für andere BAT-Dateien.

Infizierte HTML-Dateien

Beim Infizieren einer HTML-Datei erstellt der Virus im selben Verzeichnis die infizierte Pipette mit dem Namen PATCH.COM und fügt am Ende der HTML-Datei eine kurze Menge HTML-Befehle an, die die folgende Meldung anzeigen: 

Laden Sie den neuesten Patch herunter!Klick hier!

Das "Klicken Sie hier!" ist ein Link, der den PATCH.COM-Virus-Dropper herunterlädt und ausführt, wenn dieser Link aktiviert ist. Als Folge werden infizierte HTML-Seiten mit einem Virentext "weitergeführt", der das Herunterladen eines Upgrades anbietet, aber stattdessen den Virencode verbreitet.

mIRC-Skript

Der Virus sucht nach einem mIRC-Client, der im System installiert ist, und erstellt eine neue SCRIPT.INI-Datei im selben Verzeichnis. Der Virus sucht in sechs Verzeichnissen nach mIRC und löscht seine mIRC-Komponente nicht, wenn keines der Verzeichnisse gefunden wird: 

C: MIRCC: MIRC32C: PROGRAMMIRCC: PROGRAMMIRC32C: PROGRA ~ 1MIRCC: PROGRA ~ 1MIRC32

Bei der Infektion des mIRC-Clients verwendet der Virus denselben Trick wie andere mIRC-Viren: Er überschreibt die Standard-mIRC-Skriptdatei SCRIPT.INI mit einer infizierten. Wenn ein mIRC-Client mit einem infizierten Skript startet, akzeptiert er diese Datei und befolgt seine Anweisungen.

Die infizierte SCRIPT.INI enthält mehrere Befehle. Die wichtigste ist die Viren-sendende Anweisung: Wenn ein Benutzer irgendwelche Dateien sendet / empfängt, sendet der Virus an diesen Benutzer seine infizierte Tropferdatei PORNO.COM.

Der Virus sendet auch Nachrichten an den Kanal und die Benutzer auf dem Kanal. Wenn ein infizierter Client eine Verbindung mit einem IRC-Server herstellt, sendet der Virus die Nachricht an einen Benutzer mit dem Spitznamen "SeptiC_dm": 

Ich bin dein Diener! Ich wurde zu einem Eiferer der Finsternis gemacht

Wenn der String "D.Messiah" in einer Nachricht im Kanal erscheint, sendet der Virus seine eigene Nachricht an alle Benutzer auf dem Kanal: 

Nur in deinen Träumen kannst du wirklich frei sein!~ + DarK.MeSsiAh + ~ Geschrieben von SeptiC [TI]

Auf der Zeichenfolge "666" ändert der Virus das Thema des Kanals (der in der Kopfzeile des Kanalfensters angezeigt wird), wenn der infizierte Benutzer über ausreichende Berechtigungen verfügt. Die neue Themenzeichenfolge wird wie folgt angezeigt: 

~ + DarK.MeSsiAh + ~ ein digitaler Touch von DarKness! Geschrieben von SeptiC [TI]

Im Text "pray" legt der Virus den Kanaloperatormodus auf einen Benutzer fest, der diesen Text veröffentlicht und die Nachricht an den Kanal sendet: 

Ich gehorche meinem Meister! lang lebe Satan

Auf dem "Opfer" -Text werden alle infizierten Benutzer mit der Nachricht aus dem Kanal geworfen: 

 Dein Wort ist mein Befehl, Macht zu Satan!

Mehr erfahren

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com

Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden? Mitteilen!
Neu: Kaspersky!
Dein digitales Leben verdient umfassenden Schutz!
Erfahren Sie mehr
Kaspersky Next
Let´s go Next: Cybersicherheit neu gedacht
Erfahren Sie mehr
Related articles
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
28 March 2024
Securelist
DinodasRAT Linux implant targeting entities worldwide
20 March 2024
Securelist
Android malware, Android malware and more Android malware
Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden?
Falls Sie eine neue Bedrohung oder Schwachstelle gefunden haben, können Sie uns dies gerne per Mail mitteilen.
newvirus@kaspersky.com
Sie haben eine neue Bedrohung oder Schwachstelle gefunden?
Falls Sie eine neue Bedrohung oder Schwachstelle gefunden haben, können Sie uns dies gerne per Mail mitteilen.
newvirus@kaspersky.com
Lösungen für
Privatanwender
Unternehmen
Unternehmen
Unternehmen
Select language
Sorting
Bedrohung
Confirm changes?
Your message has been sent successfully.