Родительский класс: Malware
Вредоносные программы, разработанные для автоматизированного создания вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т. п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют опасности непосредственно для компьютера, на котором исполняются, все вредоносные действия программа совершает по прямому указанию пользователя.Подробнее
Класс: VirTool
Модифицируют другие вредоносные программы таким образом, чтобы они не детектировались антивирусным ПО.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Вирус-червь, заражающий EXE-файлы Windows, распространяющий свои копии по каналам IRC и распространяющий зараженные письма при помощи MS Outlook. Является 70-килобайтным EXE-файлов Windows, написан на Microsoft Visual C++.
При запуске зараженного файла вирус создает свой "дроппер" (только код вируса - без кода файла-носителя) в системном каталоге Windows. Этот файл имеет случайное имя из пяти символов, например: HIJDE.EXE. Этот файл затем используется для заражения IRC-каналов и рассылки инфицированных писем.
Затем вирус ищет EXE-файлы в каталоге Windows и заражает их. При заражении сдвигает содержимое файла вниз, а свой код записывает в начало файла. Не заражает файлы с именами, начинающимиися на символы: E, P, R, T, W. Затем вирус заражает все файлы в каталоге C:MIRCDOWNLOAD , если таковой присутствует с системе.
После этого вирус переходит к заражению клиента mIRC. Для этого вирус ищет mIRC-клиента в каталогах:
mirc
PROGRA~1 mirc
на всех дисках от C: до F: и записывает туда новый файл SCRIPT.INI. Этот файл содержит команды, которые отсылают "дроппер" вируса всем, кто подключается к зараженному каналу.
Затем вирус рассылает зараженные письма электронной почты. Для этого вирус создает временный файл SCRAMBLER.VBS, записывает в него скрипт-программу, выполняет этот файл и уничтожает его. VBS-программа при запуске открывает MS Outlook, выбирает первые 90 адресов из адресной книги и рассылает по ним "дроппер" вируса. Текст сообщения в зараженных письмах отсутствует, а поле "Subject" выглядит следующим образом:
Check this out, it's funny!
Вирус затем создает файл WINSTART.BAT в каталоге Windows и записывает в него команды, которые при запуске очищают экран и выводят текст:
Today..
I'm going to scramble your mind..
Вирус также создает файл SCRAM.EXE и записывает в него строки:
Scrambler
by Gigabyte
Вирус также ищет и портит .MP3-файлы.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com