Classe pour les parents: VirWare
Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.Classe: IRC-Worm
Ce type de ver se propage via Internet Relay Chat. Comme les vers de messagerie, les vers IRC ont deux façons de se propager via les canaux IRC. Le premier consiste à envoyer une URL qui mène à une copie du ver. La deuxième technique consiste à envoyer un fichier infecté à un utilisateur de canal IRC. Cependant, le destinataire du fichier infecté doit accepter le fichier, l'enregistrer sur le disque et l'ouvrir (le lancer).Plus d'informations
Plateforme: DOS
No platform descriptionDescription
Détails techniques
C'est un virus qui se propage à travers les canaux mIRC en utilisant un programme de script mIRC, et en essayant d'affecter les fichiers HTML pour infecter les ordinateurs distants lorsqu'un navigateur Internet lit des pages HTML infectées.
Le virus se manifeste le 1er et le 2ème de chaque mois. Il affiche les messages, puis exécute un effet vidéo. En utilisant les fonctions VGA, le virus change les couleurs du moniteur en le faisant passer du blanc sur noir au noir sur blanc et inversement. Les messages sont les suivants:
1er jour:Seulement dans vos rêves, vous pouvez être vraiment libre!~ + DarK.MeSsiAh + ~ écrit par SeptiC [TI]2ème jour:Le mal pur vient de l'intérieur! ~ + DarK.MeSsiAh + ~Écrit par SeptiC [TI]
Le virus prend également en charge une "protection" qui désactive les routines d'infection virale. Lorsqu'une copie de virus est exécutée, elle recherche le fichier C: _VAC.TXT et renvoie immédiatement au programme hôte si un tel fichier existe. Le virus affiche également le message ici:
Vous êtes protégé par un pouvoir divin~ + DarK.MeSsiAh + ~ ne touchera pas vos fichiers
DOS COM et EXE infecteur
La partie principale du virus est un infecteur de fichier DOS parasitaire ordinaire. Le virus est chiffré et lorsqu'un fichier infecté est exécuté, la boucle de décryptage restaure le code du virus sous une forme non cryptée et passe à la routine principale du virus. Le virus recherche ensuite les fichiers DOS COM et EXE et les infecte. En infectant, le virus crypte et écrit son code à la fin du fichier et modifie l'en-tête du fichier.
Le virus recherche les fichiers et les infecte dans le répertoire en cours, dans les répertoires parents et dans l'arborescence de tous les lecteurs de C: à G :. Le virus vérifie les noms de fichiers et n'infecte pas les fichiers: COMMAND,? GA *, ?? NP *, ??? GW *; exécute la routine d'infection de script mIRC si le fichier MI * (MIRC.EXE, MIRC32.EXE) est trouvé; corrompt les fichiers anti-virus: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - le virus les écrase avec un code qui affiche le message et retourne à DOS quand un le fichier infecté est exécuté:
~ + DarK.MeSsiAh + ~ un Digital Touch of DarKness! Écrit par SeptiC [TI]
Le virus supprime également le fichier ANTI-VIR.DAT s'il existe.
Infecter les fichiers BAT
Le virus recherche également les fichiers BAT et HTML et les infecte dans les mêmes répertoires. Tout en infectant les fichiers BAT, le virus écrit à la fin du fichier les commandes DOS qui remplacent la commande DOS "dir" par un ensemble de deux instructions: la première exécute un virus PORNO.COM, la seconde exécute l'instruction DOS "dir" . Par conséquent, sur toute instruction "dir", le compte-gouttes de virus est exécuté.
Le virus crée son fichier de renvoi PORNO.COM dans le répertoire Windows Command. Pour localiser ce répertoire, le virus essaie trois variantes:
C: WINDOWSCOMMANDC: WIN95COMMANDC: WIN98COMMAND
Si aucun d'entre eux n'est valide, le virus dépose ce fichier dans le répertoire courant. Le virus ouvre ensuite le fichier C: AUTOEXEC.BAT et l'infecte de la même manière que pour les autres fichiers BAT.
Infecter des fichiers HTML
Lors de l'infection d'un fichier HTML, le virus crée, dans le même répertoire, le compte-gouttes infecté portant le nom PATCH.COM et ajoute à la fin du fichier HTML un petit ensemble de commandes HTML affichant le message:
Téléchargez le dernier patch!Cliquez ici!
Le "Cliquez ici!" est un lien qui télécharge et exécute le compte-gouttes de virus PATCH.COM, lorsque ce lien est activé. En conséquence, les pages HTML infectées sont "continuées" avec un texte de virus qui propose de télécharger une mise à niveau, mais répand le code du virus à la place.
Script mIRC
Le virus recherche un client mIRC installé dans le système et crée un nouveau fichier SCRIPT.INI dans le même répertoire. Le virus recherche mIRC dans six répertoires et ne supprime pas son composant mIRC si aucun des répertoires n'est trouvé:
C: MIRCC: MIRC32C: PROGRAMMIRCC: PROGRAMMIRC32C: PROGRA ~ 1MIRCC: PROGRA ~ 1MIRC32
Tout en infectant le client mIRC, le virus utilise la même astuce que les autres virus mIRC: il écrase le fichier de script mIRC standard SCRIPT.INI avec un fichier infecté. Lorsqu'un client mIRC démarre avec un script infecté, il accepte ce fichier et suit ses instructions.
Le fichier SCRIPT.INI infecté contient plusieurs commandes. Le principal est l'instruction d'envoi de virus: lorsqu'un utilisateur envoie / reçoit des fichiers, le virus envoie à cet utilisateur son fichier de retour infecté, PORNO.COM.
Le virus envoie également des messages à la chaîne et aux utilisateurs de la chaîne. Lorsqu'un client infecté se connecte à un serveur IRC, le virus envoie le message à un utilisateur avec le surnom "SeptiC_dm":
Je suis ton serviteur! J'ai été transformé en zélote des ténèbres
Si la chaîne "D.Messiah" apparaît dans un message du canal, le virus envoie son propre message à tous les utilisateurs du canal:
Seulement dans vos rêves, vous pouvez être vraiment libre!~ + DarK.MeSsiAh + ~ Ecrit par SeptiC [TI]
Sur la chaîne "666", le virus change le sujet du canal (qui est affiché dans l'en-tête de la fenêtre du canal), si l'utilisateur infecté a suffisamment de privilèges. La nouvelle chaîne de rubrique apparaît comme suit:
~ + DarK.MeSsiAh + ~ un Digital Touch of DarKness! Écrit par SeptiC [TI]
Sur le texte "pray", le virus définit le mode de l'opérateur de canal à un utilisateur qui publie ce texte, et envoie le message au canal:
J'obéis à mon maître! vive Satan
Sur le texte "sacrifice", tous les utilisateurs infectés sont expulsés du canal avec le message suivant:
Ta parole est ma commande, Pouvoir à Satan!
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com