BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

IRC-Worm.DOS.Septic

Sınıf IRC-Worm
Platform DOS
Açıklama

Teknik detaylar

Bu, bir mIRC betik programı kullanarak mIRC kanallarına yayılan ve Internet tarayıcısı etkilenen HTML sayfalarını okuduğunda uzaktaki bilgisayarlara bulaşan HTML dosyalarını etkilemeye çalışan bir virüs solucanıdır.

Virüs her ayın 1. ve 2. ayında kendini gösterir. Mesajları görüntüler ve daha sonra bir video efekti çalıştırır. VGA işlevlerini kullanarak, virüs, monitörün renklerini siyah beyazdan siyah beyaza ve arkaya çevirir. Mesajlar şöyledir:

1. Gün:
Sadece hayallerinizde gerçekten özgür olabilirsiniz!
~ + DarK.MeSsiAh + ~ SeptiC [TI] tarafından yazılmış
2. Gün:
Saf kötülük içeriden gelir! ~ DarK.MeSsiAh + ~
SeptiC tarafından yazıldı [TI]

Virüs ayrıca virüs enfeksiyonu rutinlerini devre dışı bırakan bir "koruma" da destekler. Bir virüs kopyası yürütüldüğünde, C: _VAC.TXT dosyasını arar ve böyle bir dosya varsa, derhal ana bilgisayar programına döner. Virüs ayrıca mesajı burada görüntüler:


Sen bir devin güç tarafından korunuyorsun
~ + DarK.MeSsiAh + ~ dosyalarınıza dokunmayacak

DOS COM ve EXE enfektör

Virüsün ana kısmı sıradan bir paraziter DOS dosya enfektörüdür. Virüs şifrelenir ve virüslü bir dosya yürütüldüğünde, şifre çözme döngüsü virüs kodunu şifrelenmemiş forma geri yükler ve ana virüs rutinine atlar. Virüs sonra DOS COM ve EXE dosyalarını arar ve onları enfekte eder. Virüs bulaşırken, virüs şifresini kodlar ve dosyanın sonuna yazar ve dosya üst bilgisini değiştirir.

Virüs, dosyaları arar ve bunları ana dizinde, ana dizinlerde ve C: 'den G:' ye tüm sürücülerdeki dizin ağacında bulaştırır. Virüs dosya isimlerini kontrol eder ve enfekte etmez: COMMAND, GA *, ?? NP *, ??? GW * dosyaları; MI * (MIRC.EXE, MIRC32.EXE) dosyası bulunursa, mIRC komut dosyası bulaşma yordamını çalıştırır; anti-virüs dosyalarını bozar: F- *, TO *, TB *, SC *, AV * (F-PROT, TBAV, SCAN, AVP) - virüs, mesajı görüntüleyen bir kodla yazar ve bir virüslü dosya yürütüldü:


~ + DarK.MeSsiAh + ~ DarKness'in Dijital Dokunuşu! SeptiC tarafından yazıldı [TI]

Virüs, varsa ANTI-VIR.DAT dosyasını da siler.

BAT dosyaları bulaşıyor

Virüs ayrıca, BAT ve HTML dosyalarını da arar ve bunları aynı dizinlerde infekte eder. BAT dosyaları enfekte ederken, virüs DOS komutları, DOS komutunun yerine iki komut kümesi ile yazar: komutları ilk bir virüs damlalık PORNO.COM, ikinci DOS "dir" talimatını yürütür . Sonuç olarak, herhangi bir "dir" talimatında virüs damlalığı gerçekleştirilir.

Virüs, Windows Command dizinindeki PORNO.COM damlalık dosyasını oluşturur. Bu dizini bulmak için virüs üç varyantı dener:


C: WINDOWSCOMMAND
C: WIN95COMMAND
C: WIN98COMMAND

Bunlardan biri geçerli değilse, virüs bu dosyayı geçerli dizine bırakır. Virüs daha sonra C: AUTOEXEC.BAT dosyasını açar ve diğer BAT dosyaları ile aynı şekilde bulaştırır.

HTML dosyalarını bulaştırarak

Bir HTML dosyasına bulaşırken virüs, aynı dizinde, PATCH.COM adıyla virüs bulaşmış damlalık oluşturur ve HTML dosyasının sonuna mesajı görüntüleyen kısa bir HTML komut kümesini ekler:


Son Yama indirin!
Buraya TIKLAYIN!

"Buraya Tıklayın!" Bu bağlantı etkinleştirildiğinde, PATCH.COM virüs damlalığını indiren ve çalıştıran bir bağlantıdır. Sonuç olarak, virüs bulaşmış HTML sayfaları, bir yükseltme indirmeyi öneren bir virüs metni ile "devam" edilir, ancak bunun yerine virüs kodunu dağıtır.

mIRC komut dosyası

Virüs, sistemde yüklü bir mIRC istemcisi arar ve aynı dizinde yeni bir SCRIPT.INI dosyası oluşturur. Virüs altı dizinde mIRC arar ve dizinlerin hiçbiri bulunmazsa mIRC bileşenini düşürmez:


C: MIRC
C: MIRC32
C: PROGRAMMIRC
C: PROGRAMMIRC32
C: PROGRA ~ 1MIRC
C: PROGRA ~ 1MIRC32

MIRC istemcisini enfekte ederken, virüs diğer mIRC virüslerinin yaptığı gibi aynı hile kullanır: standart mIRC komut dosyası SCRIPT.INI'nin virüslü bir dosya ile üzerine yazılır. Bir mIRC istemcisi etkilenen bir betikle başladığında, bu dosyayı kabul eder ve yönergeleri izler.

Enfekte SCRIPT.INI birkaç komut içerir. Ana virüs, virüs gönderme talimatıdır: herhangi bir kullanıcı herhangi bir dosya gönderdiğinde / alırken, virüs bu kullanıcıya virüslü damlalık dosyasını PORNO.COM gönderir.

Virüs ayrıca kanala ve kanaldaki kullanıcılara mesajlar gönderir. Virüs bulaşmış bir istemci bir IRC sunucusuna bağlandığında, virüs mesajı "SeptiC_dm" takma adı olan bir kullanıcıya gönderir:


Ben senin hizmetçinim! Karanlığın cılızına dönüştüm

Kanalda bir mesajda "D.Messiah" dizesi görünürse, virüs kendi mesajını kanaldaki tüm kullanıcılara gönderir:


Sadece hayallerinizde gerçekten özgür olabilirsiniz!
~ + DarK.MeSsiAh + ~ Yazan SeptiC [TI]

"666" dizesinde virüs, virüslü kullanıcının yeterli ayrıcalıklara sahip olması halinde kanalın konusunu (kanal penceresinin başlığında görüntülenir) değiştirir. Yeni konu dizesi aşağıdaki gibi görünür:


~ + DarK.MeSsiAh + ~ DarKness'in Dijital Dokunuşu! SeptiC tarafından yazıldı [TI]

"Dua" metninde virüs, kanal operatörü modunu bu metni gönderen bir kullanıcıya ayarlar ve mesajı kanala gönderir:


Efendime itaat ediyorum! uzun ömürlü şeytan

"Kurban" metninde tüm virüslü kullanıcılar mesajla birlikte kanaldan atılır:

Senin sözün benim emrimi, şeytan için güç!


Orijinaline link