Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

C'est un virus qui se propage à travers les canaux mIRC en utilisant un programme de script mIRC, et en essayant d'affecter les fichiers HTML pour infecter les ordinateurs distants lorsqu'un navigateur Internet lit des pages HTML infectées.

Le virus se manifeste le 1er et le 2ème de chaque mois. Il affiche les messages, puis exécute un effet vidéo. En utilisant les fonctions VGA, le virus change les couleurs du moniteur en le faisant passer du blanc sur noir au noir sur blanc et inversement. Les messages sont les suivants:

1er jour:Seulement dans vos rêves, vous pouvez être vraiment libre!~ + DarK.MeSsiAh + ~ écrit par SeptiC [TI]2ème jour:Le mal pur vient de l'intérieur! ~ + DarK.MeSsiAh + ~Écrit par SeptiC [TI]

Le virus prend également en charge une "protection" qui désactive les routines d'infection virale. Lorsqu'une copie de virus est exécutée, elle recherche le fichier C: _VAC.TXT et renvoie immédiatement au programme hôte si un tel fichier existe. Le virus affiche également le message ici:

Vous êtes protégé par un pouvoir divin~ + DarK.MeSsiAh + ~ ne touchera pas vos fichiers

DOS COM et EXE infecteur

La partie principale du virus est un infecteur de fichier DOS parasitaire ordinaire. Le virus est chiffré et lorsqu'un fichier infecté est exécuté, la boucle de décryptage restaure le code du virus sous une forme non cryptée et passe à la routine principale du virus. Le virus recherche ensuite les fichiers DOS COM et EXE et les infecte. En infectant, le virus crypte et écrit son code à la fin du fichier et modifie l'en-tête du fichier.

Le virus recherche les fichiers et les infecte dans le répertoire en cours, dans les répertoires parents et dans l'arborescence de tous les lecteurs de C: à G :. Le virus vérifie les noms de fichiers et n'infecte pas les fichiers: COMMAND,? GA *, ?? NP *, ??? GW *; exécute la routine d'infection de script mIRC si le fichier MI * (MIRC.EXE, MIRC32.EXE) est trouvé; corrompt les fichiers anti-virus: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - le virus les écrase avec un code qui affiche le message et retourne à DOS quand un le fichier infecté est exécuté:

~ + DarK.MeSsiAh + ~ un Digital Touch of DarKness! Écrit par SeptiC [TI]

Le virus supprime également le fichier ANTI-VIR.DAT s'il existe.

Infecter les fichiers BAT

Le virus recherche également les fichiers BAT et HTML et les infecte dans les mêmes répertoires. Tout en infectant les fichiers BAT, le virus écrit à la fin du fichier les commandes DOS qui remplacent la commande DOS "dir" par un ensemble de deux instructions: la première exécute un virus PORNO.COM, la seconde exécute l'instruction DOS "dir" . Par conséquent, sur toute instruction "dir", le compte-gouttes de virus est exécuté.

Le virus crée son fichier de renvoi PORNO.COM dans le répertoire Windows Command. Pour localiser ce répertoire, le virus essaie trois variantes:

C: WINDOWSCOMMANDC: WIN95COMMANDC: WIN98COMMAND

Si aucun d'entre eux n'est valide, le virus dépose ce fichier dans le répertoire courant. Le virus ouvre ensuite le fichier C: AUTOEXEC.BAT et l'infecte de la même manière que pour les autres fichiers BAT.

Infecter des fichiers HTML

Lors de l'infection d'un fichier HTML, le virus crée, dans le même répertoire, le compte-gouttes infecté portant le nom PATCH.COM et ajoute à la fin du fichier HTML un petit ensemble de commandes HTML affichant le message:

Téléchargez le dernier patch!Cliquez ici!

Le "Cliquez ici!" est un lien qui télécharge et exécute le compte-gouttes de virus PATCH.COM, lorsque ce lien est activé. En conséquence, les pages HTML infectées sont "continuées" avec un texte de virus qui propose de télécharger une mise à niveau, mais répand le code du virus à la place.

Script mIRC

Le virus recherche un client mIRC installé dans le système et crée un nouveau fichier SCRIPT.INI dans le même répertoire. Le virus recherche mIRC dans six répertoires et ne supprime pas son composant mIRC si aucun des répertoires n'est trouvé:

C: MIRCC: MIRC32C: PROGRAMMIRCC: PROGRAMMIRC32C: PROGRA ~ 1MIRCC: PROGRA ~ 1MIRC32

Tout en infectant le client mIRC, le virus utilise la même astuce que les autres virus mIRC: il écrase le fichier de script mIRC standard SCRIPT.INI avec un fichier infecté. Lorsqu'un client mIRC démarre avec un script infecté, il accepte ce fichier et suit ses instructions.

Le fichier SCRIPT.INI infecté contient plusieurs commandes. Le principal est l'instruction d'envoi de virus: lorsqu'un utilisateur envoie / reçoit des fichiers, le virus envoie à cet utilisateur son fichier de retour infecté, PORNO.COM.

Le virus envoie également des messages à la chaîne et aux utilisateurs de la chaîne. Lorsqu'un client infecté se connecte à un serveur IRC, le virus envoie le message à un utilisateur avec le surnom "SeptiC_dm":

Je suis ton serviteur! J'ai été transformé en zélote des ténèbres

Si la chaîne "D.Messiah" apparaît dans un message du canal, le virus envoie son propre message à tous les utilisateurs du canal:

Seulement dans vos rêves, vous pouvez être vraiment libre!~ + DarK.MeSsiAh + ~ Ecrit par SeptiC [TI]

Sur la chaîne "666", le virus change le sujet du canal (qui est affiché dans l'en-tête de la fenêtre du canal), si l'utilisateur infecté a suffisamment de privilèges. La nouvelle chaîne de rubrique apparaît comme suit:

~ + DarK.MeSsiAh + ~ un Digital Touch of DarKness! Écrit par SeptiC [TI]

Sur le texte "pray", le virus définit le mode de l'opérateur de canal à un utilisateur qui publie ce texte, et envoie le message au canal:

J'obéis à mon maître! vive Satan

Sur le texte "sacrifice", tous les utilisateurs infectés sont expulsés du canal avec le message suivant:

Ta parole est ma commande, Pouvoir à Satan!

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	IRC-Worm
Plateforme	DOS
Description	Détails techniques C'est un virus qui se propage à travers les canaux mIRC en utilisant un programme de script mIRC, et en essayant d'affecter les fichiers HTML pour infecter les ordinateurs distants lorsqu'un navigateur Internet lit des pages HTML infectées. Le virus se manifeste le 1er et le 2ème de chaque mois. Il affiche les messages, puis exécute un effet vidéo. En utilisant les fonctions VGA, le virus change les couleurs du moniteur en le faisant passer du blanc sur noir au noir sur blanc et inversement. Les messages sont les suivants: 1er jour:Seulement dans vos rêves, vous pouvez être vraiment libre!~ + DarK.MeSsiAh + ~ écrit par SeptiC [TI]2ème jour:Le mal pur vient de l'intérieur! ~ + DarK.MeSsiAh + ~Écrit par SeptiC [TI] Le virus prend également en charge une "protection" qui désactive les routines d'infection virale. Lorsqu'une copie de virus est exécutée, elle recherche le fichier C: _VAC.TXT et renvoie immédiatement au programme hôte si un tel fichier existe. Le virus affiche également le message ici: Vous êtes protégé par un pouvoir divin~ + DarK.MeSsiAh + ~ ne touchera pas vos fichiers DOS COM et EXE infecteur La partie principale du virus est un infecteur de fichier DOS parasitaire ordinaire. Le virus est chiffré et lorsqu'un fichier infecté est exécuté, la boucle de décryptage restaure le code du virus sous une forme non cryptée et passe à la routine principale du virus. Le virus recherche ensuite les fichiers DOS COM et EXE et les infecte. En infectant, le virus crypte et écrit son code à la fin du fichier et modifie l'en-tête du fichier. Le virus recherche les fichiers et les infecte dans le répertoire en cours, dans les répertoires parents et dans l'arborescence de tous les lecteurs de C: à G :. Le virus vérifie les noms de fichiers et n'infecte pas les fichiers: COMMAND,? GA , ?? NP , ??? GW ; exécute la routine d'infection de script mIRC si le fichier MI (MIRC.EXE, MIRC32.EXE) est trouvé; corrompt les fichiers anti-virus: F- , TO , TB , SC , AV * (F-PROT, TBAV, SCAN, AVP) - le virus les écrase avec un code qui affiche le message et retourne à DOS quand un le fichier infecté est exécuté: ~ + DarK.MeSsiAh + ~ un Digital Touch of DarKness! Écrit par SeptiC [TI] Le virus supprime également le fichier ANTI-VIR.DAT s'il existe. Infecter les fichiers BAT Le virus recherche également les fichiers BAT et HTML et les infecte dans les mêmes répertoires. Tout en infectant les fichiers BAT, le virus écrit à la fin du fichier les commandes DOS qui remplacent la commande DOS "dir" par un ensemble de deux instructions: la première exécute un virus PORNO.COM, la seconde exécute l'instruction DOS "dir" . Par conséquent, sur toute instruction "dir", le compte-gouttes de virus est exécuté. Le virus crée son fichier de renvoi PORNO.COM dans le répertoire Windows Command. Pour localiser ce répertoire, le virus essaie trois variantes: C: WINDOWSCOMMANDC: WIN95COMMANDC: WIN98COMMAND Si aucun d'entre eux n'est valide, le virus dépose ce fichier dans le répertoire courant. Le virus ouvre ensuite le fichier C: AUTOEXEC.BAT et l'infecte de la même manière que pour les autres fichiers BAT. Infecter des fichiers HTML Lors de l'infection d'un fichier HTML, le virus crée, dans le même répertoire, le compte-gouttes infecté portant le nom PATCH.COM et ajoute à la fin du fichier HTML un petit ensemble de commandes HTML affichant le message: Téléchargez le dernier patch!Cliquez ici! Le "Cliquez ici!" est un lien qui télécharge et exécute le compte-gouttes de virus PATCH.COM, lorsque ce lien est activé. En conséquence, les pages HTML infectées sont "continuées" avec un texte de virus qui propose de télécharger une mise à niveau, mais répand le code du virus à la place. Script mIRC Le virus recherche un client mIRC installé dans le système et crée un nouveau fichier SCRIPT.INI dans le même répertoire. Le virus recherche mIRC dans six répertoires et ne supprime pas son composant mIRC si aucun des répertoires n'est trouvé: C: MIRCC: MIRC32C: PROGRAMMIRCC: PROGRAMMIRC32C: PROGRA ~ 1MIRCC: PROGRA ~ 1MIRC32 Tout en infectant le client mIRC, le virus utilise la même astuce que les autres virus mIRC: il écrase le fichier de script mIRC standard SCRIPT.INI avec un fichier infecté. Lorsqu'un client mIRC démarre avec un script infecté, il accepte ce fichier et suit ses instructions. Le fichier SCRIPT.INI infecté contient plusieurs commandes. Le principal est l'instruction d'envoi de virus: lorsqu'un utilisateur envoie / reçoit des fichiers, le virus envoie à cet utilisateur son fichier de retour infecté, PORNO.COM. Le virus envoie également des messages à la chaîne et aux utilisateurs de la chaîne. Lorsqu'un client infecté se connecte à un serveur IRC, le virus envoie le message à un utilisateur avec le surnom "SeptiC_dm": Je suis ton serviteur! J'ai été transformé en zélote des ténèbres Si la chaîne "D.Messiah" apparaît dans un message du canal, le virus envoie son propre message à tous les utilisateurs du canal: Seulement dans vos rêves, vous pouvez être vraiment libre!~ + DarK.MeSsiAh + ~ Ecrit par SeptiC [TI] Sur la chaîne "666", le virus change le sujet du canal (qui est affiché dans l'en-tête de la fenêtre du canal), si l'utilisateur infecté a suffisamment de privilèges. La nouvelle chaîne de rubrique apparaît comme suit: ~ + DarK.MeSsiAh + ~ un Digital Touch of DarKness! Écrit par SeptiC [TI] Sur le texte "pray", le virus définit le mode de l'opérateur de canal à un utilisateur qui publie ce texte, et envoie le message au canal: J'obéis à mon maître! vive Satan Sur le texte "sacrifice", tous les utilisateurs infectés sont expulsés du canal avec le message suivant: Ta parole est ma commande, Pouvoir à Satan!
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

IRC-Worm.DOS.Septic

Détails techniques

DOS COM et EXE infecteur

Infecter les fichiers BAT

Infecter des fichiers HTML

Script mIRC