Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

C'est un ver IRC qui se propage via les canaux mIRC. Le code de ver lui-même est un fichier DOS EXE aléatoirement nommé. Lorsqu'il est exécuté, le ver se copie avec le nom LOA.EXE dans le répertoire Windows et enregistre ce fichier dans le registre du système dans la section d'exécution automatique:



LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices:

"Vie d'Agonie" = "loa.exe"

Lorsque le ver localise le fichier MIRC.INI, il y écrit plusieurs instructions qui désactivent les paramètres de sécurité de mIRC et crée son fichier de script contenant les commandes qui envoient le fichier EXE du ver au canal.

Le ver se manifeste sous la forme de programmes anti-virus qui détectent et suppriment le ver DM-Setup mIRC (le ver supprime en fait les fichiers DM-Setup s'ils sont présents sur les disques). Il affiche ensuite les messages suivants:



Vous êtes sur le point de scanner votre disque dur pour le virus DMSetup, il est

crucial que vous exécutez ce programme sans mIRC actif, donc si vous

sont toujours dans mIRC pour le moment, tapez / EXIT avant de continuer.

Appuyez sur n'importe quelle touche si mIRC n'est pas actif …

Le ver affiche également d'autres messages qui dépendent de la date actuelle:



PowerBit anti-virus v3.34, (C) opyrighted 1999 par PB Systems.

PARTAGE – ENREGISTREZ-VOUS?

OUI!

Scan terminé, aucun virus n'a été trouvé.

Le site Web Ultimate Chaos 2 – http://sourceofkaos.com/homes/ultchaos

Viens me voir…

À PRÉSENT!

Non-détecté.

WaReZ scaNNeRe par oDeliOFiLThy [SuCK] … ViSiT #warez!

Auto contrôle:

bien

NO WaReZ n'a pas été détruit C: !!!

DrSolomon Anti-Virus Toolkit v10.00 – ÉDITION SPÉCIALE –

Mémoire de numérisation (DOSUMBHMAXMS) …

Aucun virus trouvé dans la mémoire

Aucun virus n'a été trouvé.

ScanDisk 2.00, (C) Copyright Microsoft Corp 1981-1998.

Vérification des zones critiques …

D'accord

Aucune erreur n'a été détectée.

Anti-Back-Orifice II.A, détecte / supprime toutes les instances BO de votre système.

Vérification du registre …

BO n'a pas été trouvé dans le registre

Système propre, visitez http://sourceofkaos.com/homes/ultchaos pour les mises à jour.

TERA SPOOF-INSTALLER VERSION 6.66

Vérification de shadow-RAM …

situé à x0FA56D6A4h

Échec de l'installation de spoof, SPSOCK64.DLL manquant.

WinGater par Terminatius [Recherche les WinGates installés sur votre système].

Registre de localisation:

REGISTRY.REG

Aucun WinGates trouvé, allez à Undernet, #wingater de l'aide.

Thunderbyte virus-détecteur v9.24, – (C) Copyright 1989-1999 Thunderbyte BV

VERIFICATION SANITAIRE:

D'ACCORD!

Aucun virus n'a été trouvé.

Anti-Nuke écrit par cDc – Culte de la vache morte.

Vérification des interruptions V86 …

Aucune interrogation détectée

Aucun programme nucléaire n'a été trouvé.

LOA 's Kill-DMSetup version 2.2, – PARTAGER

Vérification de la mémoire …

D'accord

Terminé!

KILL-CIH v2.0. -> tue toutes les souches CIH connues! <-

Vérification de la mémoire …

passé

Le CIH n'a pas été détecté sur votre système.

Lorsque le ver est démarré avec l'argument / SECRET, il affiche le message suivant:



= [Vie d'Agonie 1.30, (c) 1998 par T-2000 / émeute immortelle] =

Salut! Je suis le ver [LIFE OF AGONY], et je vais te baiser VRAIMENT mauvais!

VIE D'AGONY

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	IRC-Worm
Plateforme	DOS
Description	Détails techniques C'est un ver IRC qui se propage via les canaux mIRC. Le code de ver lui-même est un fichier DOS EXE aléatoirement nommé. Lorsqu'il est exécuté, le ver se copie avec le nom LOA.EXE dans le répertoire Windows et enregistre ce fichier dans le registre du système dans la section d'exécution automatique: LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices: "Vie d'Agonie" = "loa.exe" Lorsque le ver localise le fichier MIRC.INI, il y écrit plusieurs instructions qui désactivent les paramètres de sécurité de mIRC et crée son fichier de script contenant les commandes qui envoient le fichier EXE du ver au canal. Le ver se manifeste sous la forme de programmes anti-virus qui détectent et suppriment le ver DM-Setup mIRC (le ver supprime en fait les fichiers DM-Setup s'ils sont présents sur les disques). Il affiche ensuite les messages suivants: Vous êtes sur le point de scanner votre disque dur pour le virus DMSetup, il est crucial que vous exécutez ce programme sans mIRC actif, donc si vous sont toujours dans mIRC pour le moment, tapez / EXIT avant de continuer. Appuyez sur n'importe quelle touche si mIRC n'est pas actif … Le ver affiche également d'autres messages qui dépendent de la date actuelle: PowerBit anti-virus v3.34, (C) opyrighted 1999 par PB Systems. PARTAGE – ENREGISTREZ-VOUS? OUI! Scan terminé, aucun virus n'a été trouvé. Le site Web Ultimate Chaos 2 – http://sourceofkaos.com/homes/ultchaos Viens me voir… À PRÉSENT! Non-détecté. WaReZ scaNNeRe par oDeliOFiLThy [SuCK] … ViSiT #warez! Auto contrôle: bien NO WaReZ n'a pas été détruit C: !!! DrSolomon Anti-Virus Toolkit v10.00 – ÉDITION SPÉCIALE – Mémoire de numérisation (DOSUMBHMAXMS) … Aucun virus trouvé dans la mémoire Aucun virus n'a été trouvé. ScanDisk 2.00, (C) Copyright Microsoft Corp 1981-1998. Vérification des zones critiques … D'accord Aucune erreur n'a été détectée. Anti-Back-Orifice II.A, détecte / supprime toutes les instances BO de votre système. Vérification du registre … BO n'a pas été trouvé dans le registre Système propre, visitez http://sourceofkaos.com/homes/ultchaos pour les mises à jour. TERA SPOOF-INSTALLER VERSION 6.66 Vérification de shadow-RAM … situé à x0FA56D6A4h Échec de l'installation de spoof, SPSOCK64.DLL manquant. WinGater par Terminatius [Recherche les WinGates installés sur votre système]. Registre de localisation: REGISTRY.REG Aucun WinGates trouvé, allez à Undernet, #wingater de l'aide. Thunderbyte virus-détecteur v9.24, – (C) Copyright 1989-1999 Thunderbyte BV VERIFICATION SANITAIRE: D'ACCORD! Aucun virus n'a été trouvé. Anti-Nuke écrit par cDc – Culte de la vache morte. Vérification des interruptions V86 … Aucune interrogation détectée Aucun programme nucléaire n'a été trouvé. LOA 's Kill-DMSetup version 2.2, – PARTAGER Vérification de la mémoire … D'accord Terminé! KILL-CIH v2.0. -> tue toutes les souches CIH connues! <- Vérification de la mémoire … passé Le CIH n'a pas été détecté sur votre système. Lorsque le ver est démarré avec l'argument / SECRET, il affiche le message suivant: = [Vie d'Agonie 1.30, (c) 1998 par T-2000 / émeute immortelle] = Salut! Je suis le ver [LIFE OF AGONY], et je vais te baiser VRAIMENT mauvais! VIE D'AGONY
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

IRC-Worm.DOS.Loa

Détails techniques