IRC-Worm.DOS.Septic

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: IRC-Worm

Размножаются через Internet Relay Chats. У данного типа червей, как и у почтовых червей, существуют два способа распространения по IRC-каналам. Первый заключается в отсылке URL на копию червя. Второй способ — отсылка зараженного файла какому-либо пользователю IRC-канала. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Подробнее

Платформа: DOS

No platform description

Описание

Technical Details

Нерезидентный зашифрованный вирус-червь, заражающий COM-, EXE- и BAT-файлы DOS. Также распространяет свои копии через каналы mIRC и дописывает к HTML-файлам команды, распространяющие вирус через Интернет при обращении броузера к зараженной HTML-странице.

Вирус проявляется по первым и вторым числам каждого месяца: выводит сообщения и вызывает видео-эффект, который при помощи VGA-команд меняет палитру монитора с режима белый-на-черном на черный-на-белом и назад. Сообщения выглядят следующим образом:

По первым числам:

Only in your dreams you can be truly free!
~+DarK.MeSsiAh+~ written by SeptiC [TI]

По вторым числам:

Pure evil comes from within! ~+DarK.MeSsiAh+~
Written by SeptiC [TI]

Вирус содержит блокировщик своего распространения: если в корне диска C: присутствует файл _VAC.TXT, то вирус не вызывает свои процедуры размножения. Вместо этого он выводит сообщение и возвращает управление программе-носителю:

You are protected by a devine power
~+DarK.MeSsiAh+~ will not touch your files

Заражение COM- и EXE-Файлов

Процедура поиска и заражения выполняемых файлов DOS является основной частью вируса. Эта процедура получает управление при запуске зараженных файлов, ищет на дисках COM- и EXE-файлы DOS и записывает код вируса в их конец.

Вирус ищет файлы для заражения в текущем каталоге и его родительских каталогах, во всех подкаталогах дисков от C: до G: включительно. Вирус проверяет имена файлов и не заражает Файлы с именами: COMMAND, ?GA*, ??NP*, ???GW*; запускает процедуру заражения клиента mIRC, если обнаружен файл с именем MI* (MIRC.EXE, MIRC32.EXE); портит антивирусные файлы с именами: F-*, TO*, TB*, SC*, AV* (F-PROT, TBAV, SCAN, AVP) - записывает вместо них программу, которая при запуске выводит текст:

~+DarK.MeSsiAh+~ a Digital Touch of DarKness! Written by SeptiC [TI]

Вирус также уничтожает файлы с именем ANTI-VIR.DAT.

Заражение BAT-файлов

Вирус также ищет и заражает BAT- и HTML-файлы в тех же каталогах тех же дисков. При заражении BAT-файлов вирус записывает в их конец несколько инструкций, модифицирующих исполнение DOS-команды "dir". При помощи DOS-команды DOSKEY вирус заменяет команду "dir" на две инструкции: первая исполняет дроппер вируса PORNO.COM, вторая вызывает "настоящую" DOS-команду "dir". Таким образом при вызове инструкции "dir" в DOS-окне управление получает дроппер вируса, который также ищет и заражает файлы на всех перечисленных выше дисках.

Затем вирус тем же способом открывает и модифицирует файл C:AUTOEXEC.BAT.

Дроппер PORNO.COM создается вирусом в Command-каталоге Windows. Вирус ищет этот каталог по трем вариантам:

C:WINDOWSCOMMAND
C:WIN95COMMAND
C:WIN98COMMAND

Если такой каталог не обнаружен, вирус создает дроппер PORNO.COM в текущем каталоге.

Заражение HTML-файлов

При заражении HTML-файла вирус создает в том же каталоге, где обнаружен файл, еще один свой дроппер PATCH.COM и записывает в конец HTML-файла небольшой набор из HTML-инструкций, передающих код вируса через Интернет. Эти инструкции добавляют к первоначальному тексту HTML-файла две строки:

Download The Latest Patch!
Click Here!

Строка "Click Here!" является линком, при вызове которого броузер докачивает и запускает на компьютере зараженный файл-дроппер PATCH.COM.

В результате пораженные HTML-страницы "продолжены" текстом вируса, который предлагает обновить установленное программное обеспечение. Естественно, что вместо этого на удаленный компьютер передается копия вируса.

Скрипты mIRC

Вирус заражает установленного на компьютере клиента mIRC. Для этого вирус определяет его каталог по шести возможным вариантам:

C:MIRC
C:MIRC32
C:PROGRAMMIRC
C:PROGRAMMIRC32
C:PROGRA~1MIRC
C:PROGRA~1MIRC32

затем создает в каталоге mIRC-клиента зараженный SCRIPT.INI, который при очередном запуске клиента активизируется и определяет работу пользователя в каналах IRC.

Звараженный SCRIPT.INI содержит несколько инструкций. Основными из них являются команды передачи вируса пользователям IRC-канала: при приеме/посылке файлов вирус передает соответствующему пользователю свой зараженный файл-дроппер PORNO.COM

Вирус также посылает различные сообщения в канал. При подключении зараженного клиента к каналу вирус передает пользователю с именем "SeptiC_dm" сообщение:

I am your servant! I have been turned into a zealot of darkness

Если в канале появляется сообщение, в котором присутствует строка "D.Messiah", вирус передает в канал текст:

Only in your dreams you can be truly free!
~+DarK.MeSsiAh+~ Written by SeptiC [TI]

Если обнаружена строка "666", вирус изменяет тему канала (которая выводится в заголовок окна канала), если зараженный пользователь имеет достаточный привелегии для этого. Новый заголовок выглядит следующим образом:

~+DarK.MeSsiAh+~ a Digital Touch of DarKness! Written by SeptiC [TI]

Если обнаружена строка "sacrifice" все зараженные пользователи отключаются от канала с сообщением:

Your word is my command, Power to satan!

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com