IRC-Worm.IRC.Radex

Technical Details

Вирус-червь. Распространяется через IRC каналы в виде BAT файла.
Червь является скрипт файлом BAT, имеет размер 3000 байт.

Червь копирует себя в следующие BAT файлы:

C:Windowswinstart.bat
C:WindowsLINUX_SH_DOS_BAT_WIN_JS.bat
C:Win95LINUX_SH_DOS_BAT_WIN_JS.bat
C:Win98LINUX_SH_DOS_BAT_WIN_JS.bat
C:WinMELINUX_SH_DOS_BAT_WIN_JS.bat

Далее он создает на диске файл JS-файл:
LINUX_SH_DOS_BAT_WIN_JS.js,
который затем запускает на выполнение.

JS файл выводит диалоговое окно с заголовком и содержимым:

Radix16/SMF
SH-BAT-JS

Затем червь отсылает письмо с вирусом на единственный адрес электронной почты:

Radix16@atlas.cz

Зараженное письмо содержит:

Заголовок: SHBATJS
Текст: crazzy bat 🙂 testing MS OTLOOK in the (WORLD)
Имя вложения: LINUX_SH_DOS_BAT_WIN_JS.bat

Червь также создает файл C:MIRCSCRIPT.INI. INI файл рассылает BAT компоненту червя
всем входящим в каналы IRC.

Инсталляция

Червь добавляет в начало файла WIN.INI строку, которая запускает его JS-компоненту
при каждом старте Windows.

Червь содержит строки текста:

# /bin/sh
-=LINUX START=-
-=DOS/WIN START=-
ONLY SAMPLE (TEST) LINUX SH DOS BAT WIN JS ………..
WoRlD iS mY