IRC-Worm.BAT.Spth

Класс IRC-Worm
Платформа BAT
Описание

Technical Details

Полиморфный червь написан на BAT языке с расширениями Windows 2000/XP (cmd.exe). Червь состоит из двух частей: полиморфик генератора и основного тела. Полиморфик генератор при каждом старте перестраивает команды в основном теле. Червь создает свои дропперы в файлах SPTH.BAT и C:MIRCSATURN.BAT и создает новый скрипт файл SCRIPT.INI в каталоге C:MIRC. Этот скрипт посылает копию червя (файл SATURN.BAT) всем пользователям, подключающимся к каналу. Червь также копирует себя во все BAT файлы в каталоге WINDOWS. Программа содержит комментарии:

———— BatXP.Saturn ********** by Second Part To Hell ——

I think, you are looking at the code and think: «What the hell is this?» The answer is: A Windows XP Batch polymorph virus 😀 WinXP is using a program named CMD.EXE instate of COMMAND.COM for DOS
You’re able to make the really nice things with CMD which you wasn’t able to do it with COMMAND.COM.

Information about the virus:

Virusname………………….: BatXP.Saturn
Virusauthor………………..: Second Part To Hell
Size………………………: The poly-engine has 1.301 Bytes
The whole virus has 4.158 Bytes
Encrypted………………….: Yes, but only the virus part.
I’ll crypt also the poly engine in
next versions.
Polymorphic………………..:
Yes

written from 20.11.2002 to 22.11.2002

in Austria

>


Модификации


IRC-Worm.Spth.b

Червь создает свои дропперы с именами: SPISSTOM.BAT и
C:PROGRA~1MIRCMIRC.BAT.

Скрипт файл создается под именем: C:PROGRA~1MIRCSCRIPT.INI


IRC-Worm.Spth.c

Червь создает свои дропперы с именами: SPISSTOM.BAT и
C:MIRCINSTALL.BAT.

Скрипт файл создается под именем: C:MIRCSCRIPT.INI


IRC-Worm.Spth.d

Червь создает свои дропперы с именами: DRRA.BAT и
C:PROGRA~1MIRCSATURN.BAT.

Скрипт файл создается под именем: C:PROGRA~1MIRCSCRIPT.INI