CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

IRC-Worm.DOS.Kazimas

Classe IRC-Worm
Plateforme DOS
Description

Détails techniques

C'est un virus IRC qui se propage via les canaux mIRC. Il apparaît comme un fichier EXE MILBUG_A.EXE DOS d'environ 10 Ko de longueur. Lorsqu'il est exécuté, il se copie sur plusieurs répertoires de disques sous des noms différents:


C: WINDOWSKAZIMAS.EXE
C: WINDOWSSYSTEMPSYS.EXE
C: ICQPATCH.EXE
C: MIRCNUKER.EXE
C: MIRCDOWNLOADMIRC60.EXE
C: MIRCLOGSLOGGING.EXE
C: MIRCSOUNDSPLAYER.EXE
C: GAMESSPIDER.EXE
C: WINDOWSFREEMEM.EXE

Le ver infecte alors le client mIRC installé dans le répertoire C: MIRC: il crée un nouveau fichier script SCRPT.INI et écrase le fichier de configuration MIRC.INI. Si le client mIRC est installé dans un autre chemin, le ver ne parvient pas à l'infecter.

Le ver modifie les fichiers MIRC.INI qui personnalisent le client mIRC. Plusieurs options sont définies, par exemple l'identité d'un utilisateur est définie sur "kazimas" et le fichier de script supplémentaire SCRPT.INI est inclus dans les scripts d'exécution automatique.

Le fichier SCRPT.INI, qui est supprimé par le ver, contient plusieurs instructions qui commutent un utilisateur sur le canal "Chat2K", y envoient des messages, et le plus important: envoyer au canal la copie de ver (le C: WINDOWSKAZIMAS. Fichier EXE).

Le ver écrase également le fichier C: AUTOEXEC.BAT avec des instructions qui restaurent les copies de ver (si elles sont effacées) et l'exécution:


@copy c: windowssystempsys.exe c: windowskazimas.exe> ​​nul
@copy c: windowskazimas.exe c: kazimas.exe> ​​nul
@c: kazimas.exe> ​​nul
@cls


Lien vers l'original