IRC-Worm.IRC.Radex

Détails techniques

Ceci est un virus-ver qui se propage via les canaux IRC. Le ver lui-même est un fichier batch-script d'environ 3 Ko de longueur.

Le ver se copie dans les fichiers batch suivants:

C: Windowswinstart.bat
C: WindowsLINUX_SH_DOS_BAT_WIN_JS.bat
C: Win95LINUX_SH_DOS_BAT_WIN_JS.bat
C: Win98LINUX_SH_DOS_BAT_WIN_JS.bat
C: WinMELINUX_SH_DOS_BAT_WIN_JS.bat

Le fichier batch supprime et exécute le fichier JS LINUX_SH_DOS_BAT_WIN_JS.JS. Ce fichier JS affiche une fenêtre de dialogue avec le titre / sujet suivant:

Radix16 / SMF
SH-BAT-JS

Après cela, le ver crée et envoie le nouveau message électronique à l'adresse suivante:

Radix16@atlas.cz

Les messages infectés contiennent les éléments suivants:

Sujet: SHBATJS
Corps: batte crazy 🙂 test MS OTLOOK dans le (MONDE)
Joindre: LINUX_SH_DOS_BAT_WIN_JS.bat

Le virus-ver crée également le fichier C: MIRCSCRIPT.INI. Ce fichier INI envoie le fichier batch aux canaux IRC.

Installation

Lors de l'installation, le ver copie son composant JS dans le répertoire Windows sous le nom C: WINDOWSLINUX_SH_DOS_BAT_WIN_JS.JS et enregistre ce fichier dans la section run de WIN.INI.

Le ver contient également les chaînes de texte suivantes:

# / bin / sh
– = LINUX START = –
– = DOS / WIN START = –
EXEMPLE (TEST) LINUX SH DOS BAT WIN JS ………..
LE MONDE EST MIE