ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

IRC-Worm.DOS.Kazimas

Clase IRC-Worm
Plataforma DOS
Descripción

Detalles técnicos

Este es un gusano de virus IRC que se propaga a través de canales mIRC. Aparece como un archivo MILBUG_A.EXE DOS EXE de aproximadamente 10 Kb de longitud. Cuando se ejecuta, se copia en varios directorios de disco con diferentes nombres:


C: WINDOWSKAZIMAS.EXE
C: WINDOWSSYSTEMPSYS.EXE
C: ICQPATCH.EXE
C: MIRCNUKER.EXE
C: MIRCDOWNLOADMIRC60.EXE
C: MIRCLOGSLOGGING.EXE
C: MIRCSOUNDSPLAYER.EXE
C: GAMESSPIDER.EXE
C: WINDOWSFREEMEM.EXE

El gusano infecta el cliente mIRC instalado en el directorio C: MIRC: crea un nuevo archivo de script SCRPT.INI y sobrescribe el archivo de configuración MIRC.INI. Si el cliente mIRC está instalado en cualquier otra ruta, el gusano no puede infectarlo.

El gusano modifica los archivos MIRC.INI que personalizan el cliente mIRC. Hay varias opciones configuradas, por ejemplo, la identidad de un usuario se establece en "kazimas", y el archivo de script adicional SCRPT.INI se incluye en las secuencias de comandos de ejecución automática.

El archivo SCRPT.INI, eliminado por el gusano, contiene varias instrucciones que cambian a un usuario al canal "Chat2K", envía mensajes allí, y lo más importante: envía al canal la copia del gusano (el C: WINDOWSKAZIMAS. Archivo EXE).

El gusano también sobrescribe el archivo C: AUTOEXEC.BAT con instrucciones que restauran las copias del gusano (si se borran) y la ejecución:


@copy c: windowssystempsys.exe c: windowskazimas.exe> ​​nul
@copy c: windowskazimas.exe c: kazimas.exe> ​​nul
@c: kazimas.exe> ​​nul
@cls


Enlace al original