Класс
VirTool
Платформа
Win32

Родительский класс: Malware

Вредоносные программы, разработанные для автоматизированного создания вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т. п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют опасности непосредственно для компьютера, на котором исполняются, все вредоносные действия программа совершает по прямому указанию пользователя.

Подробнее

Класс: VirTool

Модифицируют другие вредоносные программы таким образом, чтобы они не детектировались антивирусным ПО.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Вирус-червь, заражающий EXE-файлы Windows, распространяющий свои копии по каналам IRC и распространяющий зараженные письма при помощи MS Outlook. Является 70-килобайтным EXE-файлов Windows, написан на Microsoft Visual C++.

При запуске зараженного файла вирус создает свой "дроппер" (только код вируса - без кода файла-носителя) в системном каталоге Windows. Этот файл имеет случайное имя из пяти символов, например: HIJDE.EXE. Этот файл затем используется для заражения IRC-каналов и рассылки инфицированных писем.

Затем вирус ищет EXE-файлы в каталоге Windows и заражает их. При заражении сдвигает содержимое файла вниз, а свой код записывает в начало файла. Не заражает файлы с именами, начинающимиися на символы: E, P, R, T, W. Затем вирус заражает все файлы в каталоге C:MIRCDOWNLOAD , если таковой присутствует с системе.

После этого вирус переходит к заражению клиента mIRC. Для этого вирус ищет mIRC-клиента в каталогах:

mirc
PROGRA~1 mirc

на всех дисках от C: до F: и записывает туда новый файл SCRIPT.INI. Этот файл содержит команды, которые отсылают "дроппер" вируса всем, кто подключается к зараженному каналу.

Затем вирус рассылает зараженные письма электронной почты. Для этого вирус создает временный файл SCRAMBLER.VBS, записывает в него скрипт-программу, выполняет этот файл и уничтожает его. VBS-программа при запуске открывает MS Outlook, выбирает первые 90 адресов из адресной книги и рассылает по ним "дроппер" вируса. Текст сообщения в зараженных письмах отсутствует, а поле "Subject" выглядит следующим образом:

Check this out, it's funny!

Вирус затем создает файл WINSTART.BAT в каталоге Windows и записывает в него команды, которые при запуске очищают экран и выводят текст:

Today..
I'm going to scramble your mind..

Вирус также создает файл SCRAM.EXE и записывает в него строки:

Scrambler
by Gigabyte

Вирус также ищет и портит .MP3-файлы.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.