IRC-Worm.DOS.Septic

Класс IRC-Worm
Платформа DOS
Описание

Technical Details

Нерезидентный зашифрованный вирус-червь, заражающий COM-, EXE- и BAT-файлы
DOS. Также распространяет свои копии через каналы mIRC и дописывает к
HTML-файлам команды, распространяющие вирус через Интернет при обращении
броузера к зараженной HTML-странице.

Вирус проявляется по первым и вторым числам каждого месяца: выводит
сообщения и вызывает видео-эффект, который при помощи VGA-команд меняет
палитру монитора с режима белый-на-черном на черный-на-белом и назад.
Сообщения выглядят следующим образом:

По первым числам:


Only in your dreams you can be truly free!
~+DarK.MeSsiAh+~ written by SeptiC [TI]

По вторым числам:


Pure evil comes from within! ~+DarK.MeSsiAh+~
Written by SeptiC [TI]

Вирус содержит блокировщик своего распространения: если в корне диска C:
присутствует файл _VAC.TXT, то вирус не вызывает свои процедуры
размножения. Вместо этого он выводит сообщение и возвращает управление
программе-носителю:


You are protected by a devine power
~+DarK.MeSsiAh+~ will not touch your files

Заражение COM- и EXE-Файлов

Процедура поиска и заражения выполняемых файлов DOS является основной
частью вируса. Эта процедура получает управление при запуске зараженных
файлов, ищет на дисках COM- и EXE-файлы DOS и записывает код вируса в их
конец.

Вирус ищет файлы для заражения в текущем каталоге и его родительских
каталогах, во всех подкаталогах дисков от C: до G: включительно. Вирус
проверяет имена файлов и не заражает Файлы с именами: COMMAND, ?GA*, ??NP*,
???GW*; запускает процедуру заражения клиента mIRC, если обнаружен файл с
именем MI* (MIRC.EXE, MIRC32.EXE); портит антивирусные файлы с именами:
F-*, TO*, TB*, SC*, AV* (F-PROT, TBAV, SCAN, AVP) — записывает вместо них
программу, которая при запуске выводит текст:


~+DarK.MeSsiAh+~ a Digital Touch of DarKness! Written by SeptiC [TI]

Вирус также уничтожает файлы с именем ANTI-VIR.DAT.

Заражение BAT-файлов

Вирус также ищет и заражает BAT- и HTML-файлы в тех же каталогах тех же
дисков. При заражении BAT-файлов вирус записывает в их конец несколько
инструкций, модифицирующих исполнение DOS-команды «dir». При помощи
DOS-команды DOSKEY вирус заменяет команду «dir» на две инструкции: первая
исполняет дроппер вируса PORNO.COM, вторая вызывает «настоящую» DOS-команду
«dir». Таким образом при вызове инструкции «dir» в DOS-окне управление
получает дроппер вируса, который также ищет и заражает файлы на всех
перечисленных выше дисках.

Затем вирус тем же способом открывает и модифицирует файл C:AUTOEXEC.BAT.

Дроппер PORNO.COM создается вирусом в Command-каталоге Windows. Вирус ищет
этот каталог по трем вариантам:


C:WINDOWSCOMMAND
C:WIN95COMMAND
C:WIN98COMMAND

Если такой каталог не обнаружен, вирус создает дроппер PORNO.COM в текущем
каталоге.

Заражение HTML-файлов

При заражении HTML-файла вирус создает в том же каталоге, где обнаружен
файл, еще один свой дроппер PATCH.COM и записывает в конец HTML-файла
небольшой набор из HTML-инструкций, передающих код вируса через Интернет.
Эти инструкции добавляют к первоначальному тексту HTML-файла две строки:


Download The Latest Patch!
Click Here!

Строка «Click Here!» является линком, при вызове которого броузер
докачивает и запускает на компьютере зараженный файл-дроппер PATCH.COM.

В результате пораженные HTML-страницы «продолжены» текстом вируса, который
предлагает обновить установленное программное обеспечение. Естественно, что
вместо этого на удаленный компьютер передается копия вируса.

Скрипты mIRC

Вирус заражает установленного на компьютере клиента mIRC. Для этого
вирус определяет его каталог по шести возможным вариантам:


C:MIRC
C:MIRC32
C:PROGRAMMIRC
C:PROGRAMMIRC32
C:PROGRA~1MIRC
C:PROGRA~1MIRC32

затем создает в каталоге mIRC-клиента зараженный SCRIPT.INI, который при
очередном запуске клиента активизируется и определяет работу пользователя в
каналах IRC.

Звараженный SCRIPT.INI содержит несколько инструкций. Основными из них
являются команды передачи вируса пользователям IRC-канала: при
приеме/посылке файлов вирус передает соответствующему пользователю свой
зараженный файл-дроппер PORNO.COM

Вирус также посылает различные сообщения в канал. При подключении
зараженного клиента к каналу вирус передает пользователю с именем
«SeptiC_dm» сообщение:


I am your servant! I have been turned into a zealot of darkness

Если в канале появляется сообщение, в котором присутствует строка
«D.Messiah», вирус передает в канал текст:


Only in your dreams you can be truly free!
~+DarK.MeSsiAh+~ Written by SeptiC [TI]

Если обнаружена строка «666», вирус изменяет тему канала (которая выводится
в заголовок окна канала), если зараженный пользователь имеет достаточный
привелегии для этого. Новый заголовок выглядит следующим образом:


~+DarK.MeSsiAh+~ a Digital Touch of DarKness! Written by SeptiC [TI]

Если обнаружена строка «sacrifice» все зараженные пользователи отключаются
от канала с сообщением:


Your word is my command, Power to satan!