Kaspersky Threats — Adrenaline

Classe

Plateforme

Description

Détails techniques

Ceci est un virus-virus qui infecte les systèmes Windows et se propage via les canaux IRC. Le ver lui-même est un fichier exécutable Windows, écrit en MS Visual C ++ et compressé par PECompact (la taille compressée est d'environ 35K, la taille non compressée est d'environ 65K).

Lorsqu'un fichier infecté est exécuté, il recherche les fichiers EXE dans le répertoire Windows et les infecte. Lors de l'infection, le virus déplace le corps du fichier de 35 Ko, puis il écrit lui-même en haut du fichier. Pour libérer le contrôle du fichier hôte, le virus "désinfecte" le fichier hôte à HOSTFILE.EXE, le génère et le supprime ensuite. Le virus fait attention aux noms de fichiers et n'infecte pas un fichier si son nom commence par 'E', 'P', 'R', 'T', 'W' ou si la 3ème lettre est 'D' ou 5ème lettre est 'R'.

Le virus infecte également les fichiers EXE dans le répertoire C: MIRCDOWNLOAD, sans prêter attention aux noms de fichiers.

Pour se propager via des canaux IRC, le virus supprime son image "pure" dans le répertoire système Windows avec le nom BUGFIX.EXE et écrase le fichier SCRIPT.INI dans le répertoire client mIRC. Le fichier SCRIPT.INI infecté contient une seule instruction qui envoie le fichier BUGFIX.EXE à tous ceux qui rejoignent le canal IRC infecté.

Le virus recherche le client mIRC dans les répertoires MIRC et PROGRA ~ 1MIRC sur tous les lecteurs de C: à F :.

Le virus exécute ensuite une autre routine qui envoie des messages en utilisant MS Outlook. Le virus ne se propage pas dans les messages infectés, mais simplement spams l'adresse "Rhape79@ultimatechaos.demon.co.uk" avec des messages qui ont un objet et un corps générés aléatoirement. À chaque exécution, le virus envoie 15 messages à cette adresse.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques Ceci est un virus-virus qui infecte les systèmes Windows et se propage via les canaux IRC. Le ver lui-même est un fichier exécutable Windows, écrit en MS Visual C ++ et compressé par PECompact (la taille compressée est d'environ 35K, la taille non compressée est d'environ 65K). Lorsqu'un fichier infecté est exécuté, il recherche les fichiers EXE dans le répertoire Windows et les infecte. Lors de l'infection, le virus déplace le corps du fichier de 35 Ko, puis il écrit lui-même en haut du fichier. Pour libérer le contrôle du fichier hôte, le virus "désinfecte" le fichier hôte à HOSTFILE.EXE, le génère et le supprime ensuite. Le virus fait attention aux noms de fichiers et n'infecte pas un fichier si son nom commence par 'E', 'P', 'R', 'T', 'W' ou si la 3ème lettre est 'D' ou 5ème lettre est 'R'. Le virus infecte également les fichiers EXE dans le répertoire C: MIRCDOWNLOAD, sans prêter attention aux noms de fichiers. Pour se propager via des canaux IRC, le virus supprime son image "pure" dans le répertoire système Windows avec le nom BUGFIX.EXE et écrase le fichier SCRIPT.INI dans le répertoire client mIRC. Le fichier SCRIPT.INI infecté contient une seule instruction qui envoie le fichier BUGFIX.EXE à tous ceux qui rejoignent le canal IRC infecté. Le virus recherche le client mIRC dans les répertoires MIRC et PROGRA ~ 1MIRC sur tous les lecteurs de C: à F :. Le virus exécute ensuite une autre routine qui envoie des messages en utilisant MS Outlook. Le virus ne se propage pas dans les messages infectés, mais simplement spams l'adresse "Rhape79@ultimatechaos.demon.co.uk" avec des messages qui ont un objet et un corps générés aléatoirement. À chaque exécution, le virus envoie 15 messages à cette adresse.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Email-Worm.Win32.Adrenaline

Détails techniques