CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Solutions pour:
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Vulnérabilités Menaces
Accueil Menaces IRC-Worm DOS

IRC-Worm.DOS.Septic

Classe
IRC-Worm
Plateforme
DOS

Classe pour les parents: VirWare

Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.

Classe: IRC-Worm

Ce type de ver se propage via Internet Relay Chat. Comme les vers de messagerie, les vers IRC ont deux façons de se propager via les canaux IRC. Le premier consiste à envoyer une URL qui mène à une copie du ver. La deuxième technique consiste à envoyer un fichier infecté à un utilisateur de canal IRC. Cependant, le destinataire du fichier infecté doit accepter le fichier, l'enregistrer sur le disque et l'ouvrir (le lancer).

Plus d'informations

Plateforme: DOS

No platform description

Description

Détails techniques

C'est un virus qui se propage à travers les canaux mIRC en utilisant un programme de script mIRC, et en essayant d'affecter les fichiers HTML pour infecter les ordinateurs distants lorsqu'un navigateur Internet lit des pages HTML infectées.

Le virus se manifeste le 1er et le 2ème de chaque mois. Il affiche les messages, puis exécute un effet vidéo. En utilisant les fonctions VGA, le virus change les couleurs du moniteur en le faisant passer du blanc sur noir au noir sur blanc et inversement. Les messages sont les suivants: 

1er jour:Seulement dans vos rêves, vous pouvez être vraiment libre!~ + DarK.MeSsiAh + ~ écrit par SeptiC [TI]2ème jour:Le mal pur vient de l'intérieur! ~ + DarK.MeSsiAh + ~Écrit par SeptiC [TI]

Le virus prend également en charge une "protection" qui désactive les routines d'infection virale. Lorsqu'une copie de virus est exécutée, elle recherche le fichier C: _VAC.TXT et renvoie immédiatement au programme hôte si un tel fichier existe. Le virus affiche également le message ici: 

Vous êtes protégé par un pouvoir divin~ + DarK.MeSsiAh + ~ ne touchera pas vos fichiers

DOS COM et EXE infecteur

La partie principale du virus est un infecteur de fichier DOS parasitaire ordinaire. Le virus est chiffré et lorsqu'un fichier infecté est exécuté, la boucle de décryptage restaure le code du virus sous une forme non cryptée et passe à la routine principale du virus. Le virus recherche ensuite les fichiers DOS COM et EXE et les infecte. En infectant, le virus crypte et écrit son code à la fin du fichier et modifie l'en-tête du fichier.

Le virus recherche les fichiers et les infecte dans le répertoire en cours, dans les répertoires parents et dans l'arborescence de tous les lecteurs de C: à G :. Le virus vérifie les noms de fichiers et n'infecte pas les fichiers: COMMAND,? GA *, ?? NP *, ??? GW *; exécute la routine d'infection de script mIRC si le fichier MI * (MIRC.EXE, MIRC32.EXE) est trouvé; corrompt les fichiers anti-virus: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - le virus les écrase avec un code qui affiche le message et retourne à DOS quand un le fichier infecté est exécuté: 

~ + DarK.MeSsiAh + ~ un Digital Touch of DarKness! Écrit par SeptiC [TI]

Le virus supprime également le fichier ANTI-VIR.DAT s'il existe.

Infecter les fichiers BAT

Le virus recherche également les fichiers BAT et HTML et les infecte dans les mêmes répertoires. Tout en infectant les fichiers BAT, le virus écrit à la fin du fichier les commandes DOS qui remplacent la commande DOS "dir" par un ensemble de deux instructions: la première exécute un virus PORNO.COM, la seconde exécute l'instruction DOS "dir" . Par conséquent, sur toute instruction "dir", le compte-gouttes de virus est exécuté.

Le virus crée son fichier de renvoi PORNO.COM dans le répertoire Windows Command. Pour localiser ce répertoire, le virus essaie trois variantes: 

C: WINDOWSCOMMANDC: WIN95COMMANDC: WIN98COMMAND

Si aucun d'entre eux n'est valide, le virus dépose ce fichier dans le répertoire courant. Le virus ouvre ensuite le fichier C: AUTOEXEC.BAT et l'infecte de la même manière que pour les autres fichiers BAT.

Infecter des fichiers HTML

Lors de l'infection d'un fichier HTML, le virus crée, dans le même répertoire, le compte-gouttes infecté portant le nom PATCH.COM et ajoute à la fin du fichier HTML un petit ensemble de commandes HTML affichant le message: 

Téléchargez le dernier patch!Cliquez ici!

Le "Cliquez ici!" est un lien qui télécharge et exécute le compte-gouttes de virus PATCH.COM, lorsque ce lien est activé. En conséquence, les pages HTML infectées sont "continuées" avec un texte de virus qui propose de télécharger une mise à niveau, mais répand le code du virus à la place.

Script mIRC

Le virus recherche un client mIRC installé dans le système et crée un nouveau fichier SCRIPT.INI dans le même répertoire. Le virus recherche mIRC dans six répertoires et ne supprime pas son composant mIRC si aucun des répertoires n'est trouvé: 

C: MIRCC: MIRC32C: PROGRAMMIRCC: PROGRAMMIRC32C: PROGRA ~ 1MIRCC: PROGRA ~ 1MIRC32

Tout en infectant le client mIRC, le virus utilise la même astuce que les autres virus mIRC: il écrase le fichier de script mIRC standard SCRIPT.INI avec un fichier infecté. Lorsqu'un client mIRC démarre avec un script infecté, il accepte ce fichier et suit ses instructions.

Le fichier SCRIPT.INI infecté contient plusieurs commandes. Le principal est l'instruction d'envoi de virus: lorsqu'un utilisateur envoie / reçoit des fichiers, le virus envoie à cet utilisateur son fichier de retour infecté, PORNO.COM.

Le virus envoie également des messages à la chaîne et aux utilisateurs de la chaîne. Lorsqu'un client infecté se connecte à un serveur IRC, le virus envoie le message à un utilisateur avec le surnom "SeptiC_dm": 

Je suis ton serviteur! J'ai été transformé en zélote des ténèbres

Si la chaîne "D.Messiah" apparaît dans un message du canal, le virus envoie son propre message à tous les utilisateurs du canal: 

Seulement dans vos rêves, vous pouvez être vraiment libre!~ + DarK.MeSsiAh + ~ Ecrit par SeptiC [TI]

Sur la chaîne "666", le virus change le sujet du canal (qui est affiché dans l'en-tête de la fenêtre du canal), si l'utilisateur infecté a suffisamment de privilèges. La nouvelle chaîne de rubrique apparaît comme suit: 

~ + DarK.MeSsiAh + ~ un Digital Touch of DarKness! Écrit par SeptiC [TI]

Sur le texte "pray", le virus définit le mode de l'opérateur de canal à un utilisateur qui publie ce texte, et envoie le message au canal: 

J'obéis à mon maître! vive Satan

Sur le texte "sacrifice", tous les utilisateurs infectés sont expulsés du canal avec le message suivant: 

 Ta parole est ma commande, Pouvoir à Satan!

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Related articles
25 April 2025
Securelist
Triada strikes back
24 April 2025
Securelist
Operation SyncHole: Lazarus APT goes back to the well
22 April 2025
Securelist
Russian organizations targeted by backdoor masquerading as secure networking software updates
21 April 2025
Securelist
Lumma Stealer – Tracking distribution channels
21 April 2025
Securelist
Phishing attacks leveraging HTML code inside SVG files
17 April 2025
Securelist
IronHusky updates the forgotten MysterySnail RAT to target Russia and Mongolia
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Vous avez découvert une nouvelle menace ou vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Solutions pour
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Select language
Sorting
Menace
Confirm changes?
Your message has been sent successfully.