Kaspersky Threats

Класс

Платформа

Описание

Technical Details

IRC-червь, распространяющийся по IRC-каналам. Представляет из себя приложение Win32 (PE EXE-файл) размера около 70K. Код червя содержит две основные процедуры, обе из которых активизируются при запуске червя. Первая процедура заражает компьютер; вторая процедура эмулирует популярную игру Tetris (для скрытия процесса инсталляции червя в компьютер).

При заражении компьютера червь ищет клиента mIRC в четырех каталогах:

C:Mirc
C:Program Filesmirc
D:mirc
D:Program Filesmirc

Если mIRC-клиент обнаружен, червь создает дополнительные файлы:

C:Windowsscript.bak – mIRC-скрипт (затем будет скопирован в каталог mIRC)
C:backup.vbs – VBS-программа, которая затем завершает заражение компьютера
C:Windowssystem.exe – копия червя

Файл “C:backup.vbs” затем регистрируется в секции авто-запуска системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SysFile = C:Backup.vbs

В результате VBS-компонента червя активизируется при каждой загрузке компьютера и завершает инсталляцию червя в систему:

C:Windowsscript.bak копируется в каталог mIRC с именем “script.ini”
C:Windowssystem.exe копируется в файл C:tetris.exe

Файл-скрипт “script.ini” затем отсылает зараженный файл “C:tetris.exe” всем, кто подключается к зараженному IRC-каналу.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details IRC-червь, распространяющийся по IRC-каналам. Представляет из себя приложение Win32 (PE EXE-файл) размера около 70K. Код червя содержит две основные процедуры, обе из которых активизируются при запуске червя. Первая процедура заражает компьютер; вторая процедура эмулирует популярную игру Tetris (для скрытия процесса инсталляции червя в компьютер). При заражении компьютера червь ищет клиента mIRC в четырех каталогах: C:Mirc C:Program Filesmirc D:mirc D:Program Filesmirc Если mIRC-клиент обнаружен, червь создает дополнительные файлы: C:Windowsscript.bak – mIRC-скрипт (затем будет скопирован в каталог mIRC) C:backup.vbs – VBS-программа, которая затем завершает заражение компьютера C:Windowssystem.exe – копия червя Файл “C:backup.vbs” затем регистрируется в секции авто-запуска системного реестра: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SysFile = C:Backup.vbs В результате VBS-компонента червя активизируется при каждой загрузке компьютера и завершает инсталляцию червя в систему: C:Windowsscript.bak копируется в каталог mIRC с именем “script.ini” C:Windowssystem.exe копируется в файл C:tetris.exe Файл-скрипт “script.ini” затем отсылает зараженный файл “C:tetris.exe” всем, кто подключается к зараженному IRC-каналу.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Tetris

Technical Details