SolarNet Irc Network logo  
Твое место под солнцем!

Литература => Обзор IRC червей:


Как оказалось, мощная и разветвленная система команд IRC-клиентов позволяет на основе их скриптов создавать компьютерные вирусы, передающие свой код на компьютеры пользователей сетей IRC, так называемые "IRC-черви". Первый инцидент с IRC-червем зафиксирован в конце 1997 года: пользователями mIRC-клиента был обнаружен скрипт (файл SCRIPT.INI), переносивший свой код через каналы IRC и заражавший mIRC-клиентов на компьютерах пользователей, подключавшихся к зараженным каналам. Как оказалось, скрипт-черви являются достаточно простыми программами, и через довольно короткое время на основе первого mIRC-червя были созданы и "выпущены" в сети несколько десятков различных скрипт-червей.

Принцип действия таких IRC-червей примерно одинаков. При помощи IRC-команд файл сценария работы (скрипт) или реакции на IRC-события автоматически посылается с зараженного компьютера каждому вновь присоединившемуся к каналу пользователю. Присланный файл-сценарий замещает стандартный и при следующем сеансе работы уже вновь зараженный клиент будет рассылать червя.

Черви при этом используют особенности конфигурации клиента (всех версий mIRC младше 5.31 и всех версий PIRCH до PIRCH98), благодаря которой принимаемые файлы всех типов помещаются в корневой каталог клиента. Этот каталог также содержит и основные скрипты клиента, включая авто-загружаемые mIRC-скрипты SCRIPT.INI, MIRC.INI и PIRCH-скрипт EVENTS.INI. Данные скрипты автоматически исполняются клиентом при старте и в дальнейшем используются как основной сценарий его работы.

Некоторые IRC-черви также содержат троянский компонент: по заданным ключевым словам производят разрушительные действия на пораженных компьютерах. Например, червь "pIRCH.Events" по определенной команде стирает все файлы на диске пользователя.

В скрипт-языках клиентов mIRC и PIRCH также существуют операторы для запуска обычных команд операционной системы и исполняемых модулей (программ) DOS и Windows. Эта возможность IRC- скриптов послужила основой для появления скрипт-червей нового поколения, которые помимо скриптов заражали компьютеры пользователей EXE-вирусами, устанавливали "троянских коней", и т.п.

Скрипт-черви работоспособны только в том случае, если пользователь разрешает копирование файлов из сети на свой компьютер. Данная опция IRC-клиентов называется 'DCC autoget' - получение файлов по протоколу DCC автоматически и без предупреждающего сообщения. При отключенной опции зараженный файл принимается, помещается в каталог клиента и в следующем сеансе работы продолжает свое распространение. При этом пользователь не получает никаких предупреждающих сообщений.

Следует отметить, что фирма-изготовитель клиента mIRC отреагировала достаточно оперативно и буквально через несколько дней после появления первого червя выпустила новую версию своего клиента, в которой были закрыты пробелы в защите.

mIRC.Acoragil и mIRC.Simpsalapim

Первые известные mIRC-черви. Обнаружены в конце ноября - начале декабря 1997. Названия получили по кодовым словам, которые используются червями: если в тексте, переданном в канал каким-либо пользователем присутствует строка "Acoragil", то все пользователи, зараженные червем "mIRC.Acoragil" автоматически отключаются от канала. То же самое происходит с червем "mIRC.Simpsalapim" - он аналогично реагирует на строку "Simpsalapim".

При размножении черви командами mIRC пересылают свой код в файле SCRIPT.INI каждому новому пользователю, который подключается к каналу.

Содержат троянскую часть. "mIRC.Simpsalapim" содержит код захвата канала IRC: если mIRC владельца канала заражен, то по вводу кодового слова "ananas", злоумышленник перехватывает управление каналом.

"mIRC.Acoragil" по кодовым словам пересылает системные файлы DOC, Windows или UNIX. Некоторые кодовые слова выбраны таким образом, что не привлекают внимания жертвы - hi, cya или the. Одна из модификаций этого червя пересылает злоумышленнику файл паролей UNIX.

Win95.Fono

Опасный резидентный файлово-загрузочный полиморфик-вирус. Использует mIRC как один из способов своего распространения: перехватывает системные события Windows и при запуске файла MIRC32.EXE активизирует свою mIRC-процедуру. При этом открывает файл MIRC.INI и записывает в его конец команду, снимающую защиту:

[fileserver]
Warning=Off

Затем создает файлы SCRIPT.INI и INCA.EXE. Файл INCA.EXE содержит дроппер вируса, скрипт файла SCRIPT.INI пересылает себя и этот дроппер в канал IRC каждому присоединившемуся к каналу и каждому выходящему с канала.

pIRCH.Events

Первый известный PIRCH-червь. Рассылает себя каждому присоединившемуся к каналу пользователю. По ключевым словам выполняет различные действия, например:

  • по команде ".query" происходит своего рода перекличка, по которой зараженные системы отвечают <Да, я уже заражена>;
  • по команде ".exit" завершает работу клиента.

    По другим командам червь удаляет все файлы с диска С:, предоставляет доступ к файлам на зараженном компьютере, и т.д.

    IRC-Worm.Adrenaline

    Вирус-червь, заражающий EXE-файлы Windows и распространяющий свои копии по чат-каналам IRC. Червь является приложением Windows, написан на Visual C++ и упакован утилитой компрессии PE EXE-файлов PECompact (упакованный размер - около 35K, распакованный - около 65K).

    При запуске вирус заражает EXE-файлы в каталоге Windows. При заражении вирус сдвигает файлы вниз на свою длину и записывает свой код в начало файлов. Для того, чтобы вернуть управление программе-носителю, вирус создает новый файл HOSTFILE.EXE, "лечит" в него файл-носитель, запускает его на выполнение и затем удаляет. Вирус не заражает файл, если первый символ файла: 'E', 'P', 'R', 'T', или 'W'; или 3-й символ - 'D'; или 5-й символ - 'R'.

    Вирус также заражает EXE-файлы в каталоге C:\MIRC\DOWNLOAD, при этом он не обращает внимания на имена файлов.

    Для распространения по каналам IRC вирус создает свою копию в системном каталоге Windows (имя копии вируса - BUGFIX.EXE) и записывает в системный файл mIRC-клиента (SCRIPT.INI) процедуру, состоящую всего из одной команды - посылка файла-вируса BUGFIX.EXE всем пользователям, подключающимся к каналу.

    Для описанного выше заражения вирус ищет клиента mIRC в каталогах MIRC и PROGRA~1\MIRC на всех дисках от C: до F:.

    Затем вирус подключается К почтовой системе MS Outlook и рассылает "спам"-письма (вирус не рассылает свои EXE-копии, а только текстовые письма). При каждом запуске вирус отсылает 15 писем на адрес "Rhape79@ultimatechaos.demon.co.uk". Письма имеют случайно сгенерированный текстовый заголовок и тело письма.

    IRC-Worm.Banishing

    mIRC-червь, объединенный с резидентным зашифрованным стелс DOS-вирусом. Вирусная часть перехватывает INT 21h и записывается в конец DOS COM- и EXE-файлов при их запуске или открытии.

    Для заражения mIRC-каналов в каталог C:\MIRC записывается новый файл SCRIPT.INI, который содержит команды передачи себя (скрипт-файла) пользователям при приеме/передаче файлов от них и при выходе из канала. При этом передается только скрипт-компонента, а не целиком DOS- вирус.

    Зараженный скрипт проявляется сообщениями. При подключении зараженного клиента к IRC- серверу червь временно переключается на канал "virus" и посылает в него текст:

    Will not the mountains quake and hills melt at the coming of the darkness?
    Dark Banishing V1.0
    

    Аналогичный текст посылается в зараженный канал, если в нем обнаружена строка "virus".

    Червь также содержит строки:

    Dark Banishing Version 1.0
    Dark Banishing V1.0 By VxFaeRie
    

    IRC-Worm.Claw

    Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Также ищет все файлы в текущем каталоге, открывает их и в случае COM и EXE файлов заражает их. Вирус также создает в каталоге C: скрытый (hidden) файл со своей копией и дописывает его вызов к файлу C:\AUTOEXEC.BAT. Затем вирус заражает файлы WIN.COM и COMMAND.COM в системном каталоге Windows.

    Для заражения клиента mIRC вирус создает в каталоге C:\MIRC два файла: MIRC_SYS.INI и свой файл-дроппер с именем CYBER.COM. Затем вирус модифицирует файл MIRC.INI в каталоге C:MIRC и встраивает в него вызов файл MIRC_SYS.INI. Данный скрипт вызывается автоматически после старта программы mIRC. Скрипт MIRC_SYS.INI отключает вывод предупреждений программой mIRC и пересылает дроппер вируса (файл CYBER.COM) при выходе из IRC-канала.

    1-го сентября вирус с некоторой вероятностью уничтожает FLASH BIOS компьютера, для этого он вызывает расширенные функции BIOS.

    При старте из своего файла-дроппера вирус выводит текст:

    Clawfinger
    

    Вирус также содержит зашифрованные строки текста:

    Do you know how it feels to be down in the dirt with a bullet
    in yer breast and blood on yer shirt Lying in a bloodpool down
    in a pit covered with the corpse and the blood and the shit
    How does it feel to have a gun at yer head when ya know that
    you'd be much better off dead Freedom has a price and that price
    is blood so chase the motherfucker right down in da mud
    [ WARFAIR - CLAWFINGER ]
    

    IRC-Worm.Crack

    Достаточно примитивный IRC-червь, распространяющийся по чат-каналам IRC. Является EXE- файлом Win32 размером около 3Kb (упакован, после распаковки размер файла - около 10K).

    При запуске червь копирует себя в каталог Windows с именем CRACK.EXE и заражает клиента mIRC. При заражении червь ищет клиента mIRC в двух каталогах:

    C:\MIRC
    D:\MIRC
    

    Если mIRC-клиент найден, червь создает в его каталоге новый управляющий скрипт-файл SCRIPT.INI, в которые записывает несколько команд. Эти команды посылают файл-червь CRACK.EXE пользователям, присоединяющимся к зараженному каналу; и также при подключении к IRC-серверу посылают сообщения в чат-группы:

    Сообщение в "vxers":
    I'm wide awake in my kitchen, it's dark and I'm lonely, oh if I could
    only get some sleep.. Creeky noises make my skin creep. I need to get
    some sleep.. I can't get no sleep....
    

    Сообщение в "cservice":

    PLEASE join #vxers, and visit http://www.shadowvx.com/4Q and
    http://www.shadowvx.com/fun4vxers .. We're the best!
    

    IRC-Worm.Edoc

    Достаточно простой сетевой вирус-червь. Размножается в IRC-каналах.

    Этот червь посылает следующее сообщение всем пользователям (кроме оператора канала), которые присоединяются к каналу, к которому подключен инфицированный пользователь:

    hey to get OPs use this hack in the chan but SHH!
    
    ////$decode(d3JpdG..................................................
    ..........................................................
    ..........................................................
    ..........................................................
    .........................................................
    .........................SkgLG0p,m) | $decode(Lmxv........IMQ= ,m)
    

    (точками заменено тело червя)

    В этом сообщении, линия, начинающаяся с "//" - является командой (скрипт) и содержит тело червя в MIME base64 кодировке.

    Если пользователь, который получил сообщение, запустит скрипт, червь создаст файл, который распространит червя далее в IRC каналах, и добавляет ссылку в "mirc.ini", на вирусный файл.

    IRC-Worm.ElSpy

    Сетевой вирус-червь. Размножается в IRC-каналах и использует для своего размножения mIRC- клиента. Передается из сети на компьютер в виде DOS-файла EL15_BMP..EXE. При его запуске вирус инсталлирует себя в систему: копирует себя в каталог WindowsSystem и модифицирует скрипт-файл SYSTEM.INI таким образом, что копия червя передается каждому пользователю, подключающемуся к зараженному каналу.

    Червь также имеет дополнительные "возможности": сообщает своему "хозяину" IP-адреса зараженных компьютеров, открывает диск C: как файл-сервер, и т.п.

    Вирус содержит текст:

    Designed by Del_Armg0____26 Juin 1999____Keep It Load!
    Magicд%Software (c) 1999
    

    IRC-Worm.Godog

    IRC-червь, поражающий клиента mIRC и рассылающий себя в IRC-каналы. Является DOS- программой. При запуске копирует себя в каталог MIRC под именем GhostDog.exe и создает там же управляющий скрипт-файл SCRIPT.INI. Даный файл содержит инструкции, которые передают копию червя в IRC-канал при подключении к нему новых пользователей. Скрипт червя также не показывает сообщения, если в них содерджится строка "virus" или "worm".

    Отличительной особенностью червя является тот факт, что скрипт-команды в файле SCRIPT.INI полиморфны: они могут быть переставлены местами; между ними может присутствовать случайно сгенерированные строки-комментарии; текстовые символы самих команд имеют случайно выбранный регистр (большие/маленькие символы). Например:

    n0=$40Yw840RIGlx6Amlp7G0JaZ4QTs840N
    n1=On 1^tExt^*WoRm*^*^{ /Ignore $nick | /closeMsg $NiCk }
    n2=$HyX5NMq840KBAfrpTGfj7Z0DuT5J6m840GXWb1lQcbe7V0ZpT5F5j840CTRwihMYW
    

    Несмотря на такой необычный вид скрипт-команды червя вполне работоспособны.

    IRC-Worm.Kazimas

    Сетевой вирус-червь, распространяющийся через mIRC-каналы. Попадает в компьютер как DOS EXE-файл KAZINAS.EXE длиной около 7Kb. При запуске копирует себя в несколько файлов в различные каталоги диска:

    C:\WINDOWSKAZIMAS.EXE
    C:\WINDOWS\SYSTEM\PSYS.EXE
    C:\ICQ\PATCH.EXE
    C:\MIRC\NUKER.EXE
    C:\MIRC\DOWNLOAD\MIRC60.EXE
    C:\MIRCLOGS\LOGGING.EXE
    C:\MIRC\SOUNDS\PLAYER.EXE
    C:\GAMES\SPIDER.EXE
    C:\WINDOWS\FREEMEM.EXE
    

    Затем червь инсталлирует себя в клиента mIRC, при этом инсталляция проходит успешно, только если mIRC установлен на диске C: в каталоге MIRC. Червь изменаяет в этом каталоге файл настроек mIRC (MIRC.INI) и создает новый скрипт-файл SCRIPT.INI. В настройки MIRC.INI червь записывает несколько команд, в частности - команду авто-запуска скрипта SCRPT.INI. В SCRPT.INI червь записывает команду своего размножения - рассылка в канал файла C:\WINDOWS\KAZIMAS.EXE.

    Червь также затирает файл C:\AUTOEXEC.BAT и записывает в него команды восстановления своих модулей (если они уничтожены) и их запуска:

    @copy c:\windows\system\psys.exe c:windows\kazimas.exe >nul
    @copy c:\windows\kazimas.exe c:\kazimas.exe >nul
    @c:kazimas.exe >nul
    @cls
    

    IRC-Worm.Lara

    Достаточно простой сетевой вирус-червь. Размножается в IRC-каналах и использует для своего размножения mIRC-клиента.

    Это первый известный интернет-червь который распространяется в файлах "Тема Рабочего стола" (Desktop Themes).

    Передается из сети на компьютер в виде файла "LaraCroft.theme"

    При запуске этого файла червь определяет где располагается mIRC-клиент, создает в каталоге Windows вспомогательный VBS файл и запускает его.

    Данный файл записывает свой скрипт в файл SCRIPT.INI При помощи своего скрипта червь передает исходный "LaraCroft.theme" файл всем пользователям, подключающимся к каналу.

    IRC-Worm.Loa

    Сетевой вирус-червь. Размножается в IRC-каналах и использует для своего размножения mIRC- клиента. Передается из сети на компьютер в виде DOS EXE-файла со случайным именем. При его запуске вирус копирует себя под именем LOA.EXE в каталог Windows и записывает информацию об этом файле в секцию авто-запуска системного реестра Windows:

    LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices:
    "Life of Agony"="loa.exe"
    

    Для распространения своего кода через mIRC вирус создает новый скрипт-файл в каталоге mIRC- клиента. При запуске вирусный скрипт передает зараженный EXE-файл всем пользователям, подключающимся к зараженному каналу.

    Вирус маскируется под антивирусную программу, уничтожающую другого mIRC-червя ("DM-Setup"), причем вирус действительно ищет и удаляет файлы этого червя. При этом вирус выводит сообщения:

    You are about to scan your harddrive for the DMSetup virus, it is
    crucial that you run this program without mIRC active, so if you
    are still in mIRC at the moment, type /EXIT before you continue.
    Press any key if mIRC is not active...
    

    В зависимости от текущей даты и прочих условий вирус маскируется под прочие антивирусные программы:

    PowerBit anti-virus v3.34, (C)opyrighted 1999 by PB Systems.
    SHAREWARE - REGISTER?
    YES!
    Scan completed, no viruses were found.
    The Ultimate Chaos Website 2 - http://sourceofkaos.com/homes/ultchaos
    Visit me...
    NOW!
    Not detected.
    WaReZ SCaNNeR bY oDELiOFiLThY [SuCK]... ViSiT #warez !
    SeLF CHeCK:
    oKeY
    nO WaReZ wErE FoUnD aT DRiVe C: !!!
    DrSolomon Anti-Virus Toolkit v10.00 - SPECIAL EDITION -
    Scanning memory (DOSUMBHMAXMS)...
    No viruses found in memory
    No viruses were found.
    ScanDisk 2.00, (C)Copyright Microsoft Corp 1981-1998.
    Checking critical areas...
    OK
    No errors were detected.
    Anti-Back-Orifice II.A, detects/removes all BO-instances from your system.
    Checking registry...
    BO was not found in the registry
    System clean, visit http://sourceofkaos.com/homes/ultchaos for updates.
    TERA SPOOF-INSTALLER VERSION 6.66
    Checking shadow-RAM...
    located at x0FA56D6A4h
    Failed to install spoof, SPSOCK64.DLL missing.
    WinGater by Terminatius [Finds installed WinGates at your system].
    Locating registry:
    REGISTRY.REG
    No WinGates found, go to Undernet, #wingater for help.
    Thunderbyte virus-detector v9.24, - (C) Copyright 1989-1999 Thunderbyte B.V.
    SANITY CHECK:
    OK!
    No viruses were found.
    Anti-Nuke written by cDc - Cult of the Dead Cow.
    Checking V86 interrupts...
    No polling detected
    No nuke-programs found.
    LOA''s Kill-DMSetup version 2.2, - SHAREWARE
    Checking memory...
    OK
    Completed!
    KILL-CIH v2.0. --> kills all known CIH-strains! <--
    Memory check...
    passed
    CIH has not been detected at your system.
    

    При запуске зараженного файла с ключем /SECRET вирус выводит текст:

    =[ Life of Agony 1.30, (c) 1998 by T-2000 / Immortal Riot ]=
    Hi! I am the [LIFE OF AGONY] worm, and I''m gonna fuck you up REAL bad!
    LIFE OF AGONY
    

    IRC-Worm.Lucky

    Сетевой вирус-червь. Размножается в IRC-каналах и использует для своего размножения клиентов mIRC и PIRCH. Передается из сети на компьютер в виде Windows PE EXE-файла LK7.EXE размером около 500Kb. При его запуске вирус инсталлирует себя в систему: копирует себя в каталог C:\WINDOWS, ищет и модифицирует системные скрипты клиентов mIRC и PIRCH в текущем каталоге, в каталогах C:\MIRC, C:\MIRC32 и C:\PIRCH98.

    Червь также инсталлирует в систему троянца "Backdoor.NetBus". Для этого червь создает на диске его копию с именем IRCPATCH.EXE в каталоге C:\WINDOWS (код троянца вирус хранит в своем теле) и запускает ее на выполнение.

    Червь содержит текст-копирайт:

    LUCKY B.R.D 1994-99 [LK-7]...
    

    Для распространения своего кода через mIRC червь создает новый скрипт-файл LK7.INI и устанавливает на него ссылку в файле MIRC.INI. При активизации скрипт-файл червя перехватывает работу с IRC-каналом и обрабатывает различные действия:

  • при входе нового пользователя в канал или при передаче файлов червь посылает данному пользователю свою копию (файл C:\WINDOWS\LK7.EXE);
  • при обнаружении в канале строки "leave!!!" червь отвечает от имени зараженного пользователя "Your will is my command" и покидает канал;
  • при обнаружении строки "LUCKY !!" червь посылает в канал сообщение "I am a Lamer !!" и меняет nick пользователя на "Lamer";
  • на текст "Die!!!" червь реагирует сообщением "Be sure, I will commit suicide now .. RIP" и выходит из "чата";
  • на текст "virus" или "virii" червь сообщает в канал: "I am infected with [LK-7]..By LUCKY B.R.D 1994- 99.Win32 VIRUS";
    и т.п.

    Червь также модифицирует ключи системного реестра, отвечающие за обработку различных событий клиента mIRC, и также использует их для передачи своей копии в IRC-каналы.

    Для распространения себя через PIRCH червь создает новый скрипт-файл EVENTS.INI в каталоге PIRCH-клиента. Файл EVENTS.INI содержит команду, передающую файл червя C:\WINDOWS\LK7.EXE всем пользователям, подключающимся к зараженному каналу.

    Варианты

    Известно несколько вариантов червя. Они являются его переделками (не всегда работоспособнымии) и весьма урезаны: заражают только клиента mIRC, не устанавливают backdoor-троянца. Распространяются под именами:

    "Lucky.b": CLICK-IT.EXE
    "Lucky.c": APPOLO.EXE
    

    IRC-Worm.Mabra

    Достаточно простой сетевой вирус-червь. Размножается в IRC-каналах и использует для своего размножения mIRC-клиента. Передается из сети на компьютер в виде DOS-файла MABRA.EXE, CDMAN.EXE или GLADYS.EXE (в зависимости от верси червя), размер файла - около 14kb. При его запуске червь копирует себя в каталог C:\WINDOWS, C:\WINDOWS\SYSTEM или C:\WINDOWS\SYSTEM32 (в зависимости от своей версии) и записывает свой скрипт в файл SCRIPT.INI в каталоге C:\MIRC. При помощи своего скрипта червь передает исходный EXE-файл всем пользователям, подключающимся к каналу.

    В зависимости от системного времени червь стирает файл C:\WINDOWS\WIN.COM.

    IRC-Worm.Milbug

    Сетевой червь, распространяющийся через mIRC-каналы. Попадает в компьютер как DOS EXE- файл MILBUG_A.EXE или MILBUG_B.EXE (в зависимости от версии червя) длиной около 10Kb. При запуске записывает в файл SCRIPT.INI в каталоге C:\MIRC свой собственный скрипт, содержащий всего две команды. Первая команда посылает каждому новому пользователю в канале сообщение:

    I'm testing my millenium bug fix program. Receive it and test it
    

    Вторая команда посылает этому пользователю зараженный EXE-файл MILBUG.

    Червь не имеет никаких деструктивных процедур и никак более не проявляется.

    IRC-Worm.MrWormy

    Неопасный нерезидентный зашифрованный вирус-червь. Распространяется по chat-каналам mIRC и PIRCH. При заражении системы создает в каталоге C:\WINDOWS зараженный файл-дроппер MYPIC.COM и устанавливает у него атрибуты "скрытый" и "только-на-чтение". Затем червь атакует программы-клиенты mIRC и PIRCH.

    При атаке на PIRCH червь перезаписывает скрипт-файл EVENTS.INI в каталоге PIRCH98. Новый EVENTS.INI пересылает файл C:\WINDOWS\MYPIC.COM при заходе пользователя в IRC-канал. В том случае, если клиент PIRCH не найден, вирус атакует mIRC-клиента: ищет и перезаписывает файл SCRIPT.INI в каталоге MIRC. Новый SCRIPT.INI содержит макросы, которые вызываются при выполнении пользователем определенных действий. Кроме того, в скрипте определены также расширенные команды CTCP, которые могут вызываться пользователем с удаленного компьютера. Список макросов, для которых вирус переопределяет свои обработчики:

  • при соединении с сервером IRC посылает пользователю с именем "TPhunk" на этом же сервере сообщение:
    I am alive
    
  • при входе в канал любого участника разговора ему пересылается файл-дроппер вируса (файл C:\WINDOWS\MYPIC.COM).
  • при появлении от какого-либо собеседника фразы, содержащей "why me", вирус запускает таймер mIRC, выполняющего атаку по протоколу CTCP на пользователя, произнесшего эту фразу.
  • при получении CTCP-команды "blah" происходит выход из IRC с сообщением
    I am Owned - TP ownes me
    
  • при получении CTCP-команды "bye" происходит запуск таймера mIRC, который с периодичностью раз в секунду выполняет файл COMMAND.COM.
  • при получении CTCP-команды "give" вирус передает этому пользователю файл MIRC.INI из каталога C:MIRC.
  • при получении CTCP-команды "unf" выполняет на компьютере запуск файла, указанного в параметрах команды.
  • при получении CTCP-команды "ya" посылает сообщение пользователю. И пользователь и сообщение указываются в параметрах команды.
  • при получении CTCP-команды "own" заменяет заголовок окна на:
    You've been hax0red
    
  • при появлении от какого-либо собеседника фразы, содержащей тект "mypic" - запуск таймера mIRC, стартующего через 30 сек. после команды и выполняющего атаку по протоколу CTCP на этого собеседника.
  • при получении CTCP-команды "giveme" - посылка подавшему команду файла, имя которого определено в параметре команды. Таким образом, червь в состоянии "воровать" файлы с удаленного компьютера.

    IRC-Worm.Pron

    Сетевой вирус-червь. Зашифрован. Размножается в IRC-каналах и использует для своего размножения mIRC-клиента. Имеет очень небольшую длину - всего 582 байта. Передается из сети на компьютер в виде файла PR0N.BAT. При его запуске вирус копирует себя в файл PR0N.COM и запускает его на выполнение. Заголовок вируса устроен таким образом, что он в состоянии выполняться как BAT-, так и COM-программа, и в результате управление передается на основную процедуру заражения системы.

    При заражении системы вирус использует очень простой прием: он копирует свой BAT-файл в текущий каталог и в каталог C:\WINDOWS\SYSTEM (если таковой отсутствует, то вирус не в состоянии заражить систему). Затем вирус также записывает свой код в файл WINSTART.BAT в корне диска C:.

    Для распространения своего кода через mIRC вирус создает новый файл SCRIPT.INI в каталоге mIRC-клиента. Этот каталог вирус ищет по четырем вариантам:

    C:\MIRC
    C:\MIRC32
    C:\PROGRA~1\MIRC
    C:\PROGRA~1\MIRC32
    

    Скрипт вируса содержит всего одну команду - каждому пользователю, подключающемуся к зараженному каналу, передается вирусный файл PR0N.BAT.

    Вирус содержит строку-"копирайт":

    IRC-pr0n.bat v1.0 (c) nUcLeii 1999
    

    IRC-Worm.Radex

    Вирус-червь. Распространяется через IRC каналы в виде BAT файла. Червь является скрипт файлом BAT, имеет размер 3000 байт.

    Червь копирует себя в следующие BAT файлы:

    C:\Windows\winstart.bat
    C:\Windows\LINUX_SH_DOS_BAT_WIN_JS.bat
    C:\Win95\LINUX_SH_DOS_BAT_WIN_JS.bat
    C:\Win98\LINUX_SH_DOS_BAT_WIN_JS.bat
    C:\WinME\LINUX_SH_DOS_BAT_WIN_JS.bat
    

    Далее он создает на диске файл JS-файл LINUX_SH_DOS_BAT_WIN_JS.js, который затем запускает на выполнение.

    JS файл выводит диалоговое окно с заголовком и содержимым:

    Radix16/SMF SH-BAT-JS
    

    Затем червь отсылает письмо с вирусом на единственный адрес электронной почты:

    Radix16@atlas.cz
    
    Зараженное письмо содержит:
    Заголовок: SHBATJS
    Текст: crazzy bat :) testing MS OTLOOK in the (WORLD)
    Имя вложения: LINUX_SH_DOS_BAT_WIN_JS.bat
    

    Червь также создает файл C:\MIRCSCRIPT.INI. INI файл рассылает BAT компоненту червя всем входящим в каналы IRC.

    Инсталляция

    Червь добавляет в начало файла WIN.INI строку, которая запускает его JS-компоненту при каждом старте Windows.

    Червь содержит строки текста:

    # /bin/sh
    
    -=LINUX START=-
    -=DOS/WIN START=-
    ONLY SAMPLE (TEST) LINUX SH DOS BAT WIN JS ...........
    WoRlD iS mY
    

    IRC-Worm.Readme.1077

    Сетевой вирус-червь. Размножается в IRC-каналах и использует для своего размножения mIRC- клиента. Передается из сети на компьютер в виде DOS-файла README.EXE. При его запуске вирус инсталлирует себя в DOS-память, перехватывает INT 21h и затем записывается в конец запускаемых COM-файлов DOS. Код вируса в файлах зашифрован.

    Вирус также создает в корне диска C: своего "дроппера" - DOS-программу README.EXE, которая имеет атрибут "hidden" (скрытый). Вирус также "регистрирует" эту программу в файле AUTOEXEC.BAT: записывает в ее начало команду запуска своего "дроппера".

    Для распространения своего кода через mIRC вирус создает новый файл SCRIPT.INI в каталоге mIRC-клиента C:\INTERNET\MIRC (если таковой каталог присутствет в системе). Вирусный файл SCRIPT.INI содержит всего одну команду, передающую файл-дроппер README.EXE всем пользователям, подключающимся к зараженному каналу.

    Вирус содержит текст:

    ;-)x
    whose name means dark matter vir-L
    

    IRC-Worm.Septic

    Нерезидентный зашифрованный вирус-червь, заражающий COM-, EXE- и BAT-файлы DOS. Также распространяет свои копии через каналы mIRC и дописывает к HTML-файлам команды, распространяющие вирус через Интернет при обращении броузера к зараженной HTML-странице.

    Вирус проявляется по первым и вторым числам каждого месяца: выводит сообщения и вызывает видео-эффект, который при помощи VGA-команд меняет палитру монитора с режима белый-на-черном на черный-на-белом и назад. Сообщения выглядят следующим образом:

    По первым числам:

    Only in your dreams you can be truly free!
    ~+DarK.MeSsiAh+~ written by SeptiC [TI]
    

    По вторым числам:

    Pure evil comes from within! ~+DarK.MeSsiAh+~
    Written by SeptiC [TI]
    

    Вирус содержит блокировщик своего распространения: если в корне диска C: присутствует файл _VAC.TXT, то вирус не вызывает свои процедуры размножения. Вместо этого он выводит сообщение и возвращает управление программе-носителю:

    You are protected by a devine power
    ~+DarK.MeSsiAh+~ will not touch your files
    

    Заражение COM- и EXE-Файлов

    Процедура поиска и заражения выполняемых файлов DOS является основной частью вируса. Эта процедура получает управление при запуске зараженных файлов, ищет на дисках COM- и EXE- файлы DOS и записывает код вируса в их конец.

    Вирус ищет файлы для заражения в текущем каталоге и его родительских каталогах, во всех подкаталогах дисков от C: до G: включительно. Вирус проверяет имена файлов и не заражает Файлы с именами: COMMAND, ?GA*, ??NP*, ???GW*; запускает процедуру заражения клиента mIRC, если обнаружен файл с именем MI* (MIRC.EXE, MIRC32.EXE); портит антивирусные файлы с именами: F-*, TO*, TB*, SC*, AV* (F-PROT, TBAV, SCAN, AVP) - записывает вместо них программу, которая при запуске выводит текст:

    ~+DarK.MeSsiAh+~ a Digital Touch of DarKness! Written by SeptiC [TI]
    

    Вирус также уничтожает файлы с именем ANTI-VIR.DAT.

    Заражение BAT-файлов

    Вирус также ищет и заражает BAT- и HTML-файлы в тех же каталогах тех же дисков. При заражении BAT-файлов вирус записывает в их конец несколько инструкций, модифицирующих исполнение DOS-команды "dir". При помощи DOS-команды DOSKEY вирус заменяет команду "dir" на две инструкции: первая исполняет дроппер вируса PORNO.COM, вторая вызывает "настоящую" DOS- команду "dir". Таким образом при вызове инструкции "dir" в DOS-окне управление получает дроппер вируса, который также ищет и заражает файлы на всех перечисленных выше дисках.

    Затем вирус тем же способом открывает и модифицирует файл C:\AUTOEXEC.BAT.

    Дроппер PORNO.COM создается вирусом в Command-каталоге Windows. Вирус ищет этот каталог по трем вариантам:

    C:\WINDOWS\COMMAND
    C:\WIN95\COMMAND
    C:\WIN98\COMMAND
    

    Если такой каталог не обнаружен, вирус создает дроппер PORNO.COM в текущем каталоге.

    Заражение HTML-файлов

    При заражении HTML-файла вирус создает в том же каталоге, где обнаружен файл, еще один свой дроппер PATCH.COM и записывает в конец HTML-файла небольшой набор из HTML-инструкций, передающих код вируса через Интернет. Эти инструкции добавляют к первоначальному тексту HTML-файла две строки:

    Download The Latest Patch!
    Click Here!
    

    Строка "Click Here!" является линком, при вызове которого броузер докачивает и запускает на компьютере зараженный файл-дроппер PATCH.COM.

    В результате пораженные HTML-страницы "продолжены" текстом вируса, который предлагает обновить установленное программное обеспечение. Естественно, что вместо этого на удаленный компьютер передается копия вируса.

    Скрипты mIRC

    Вирус заражает установленного на компьютере клиента mIRC. Для этого вирус определяет его каталог по шести возможным вариантам:

    C:\MIRC
    C:\MIRC32
    C:\PROGRAM\MIRC
    C:\PROGRAM\MIRC32
    C:\PROGRA~1\MIRC
    C:\PROGRA~1\MIRC32
    
    затем создает в каталоге mIRC-клиента зараженный SCRIPT.INI, который при очередном запуске клиента активизируется и определяет работу пользователя в каналах IRC.

    Зараженный SCRIPT.INI содержит несколько инструкций. Основными из них являются команды передачи вируса пользователям IRC-канала: при приеме/посылке файлов вирус передает соответствующему пользователю свой зараженный файл-дроппер PORNO.COM

    Вирус также посылает различные сообщения в канал. При подключении зараженного клиента к каналу вирус передает пользователю с именем "SeptiC_dm" сообщение:

    I am your servant! I have been turned into a zealot of darkness
    

    Если в канале появляется сообщение, в котором присутствует строка "D.Messiah", вирус передает в канал текст:

    Only in your dreams you can be truly free!
    ~+DarK.MeSsiAh+~ Written by SeptiC [TI]
    

    Если обнаружена строка "666", вирус изменяет тему канала (которая выводится в заголовок окна канала), если зараженный пользователь имеет достаточный привелегии для этого. Новый заголовок выглядит следующим образом:

    ~+DarK.MeSsiAh+~ a Digital Touch of DarKness! Written by SeptiC [TI]
    

    Если обнаружена строка "sacrifice" все зараженные пользователи отключаются от канала с сообщением:

    Your word is my command, Power to satan!
    

    IRC-Worm.Sonne

    Сетевой вирус-червь. Размножается в IRC-каналах и использует для своего размножения mIRC-клиента. Передается из сети на компьютер в виде VBE-файла "Sonnet.vbe". При его запуске вирус инсталлирует себя в систему: копирует себя в каталог Windows и модифицирует скрипт-файл Script.ini таким образом, что копия червя передается каждому пользователю, подключающемуся к зараженному каналу.

    IRC-Worm.Tetris

    IRC-червь, распространяющийся по IRC-каналам. Представляет из себя приложение Win32 (PE EXE-файл) размера около 70K. Код червя содержит две основные процедуры, обе из которых активизируются при запуске червя. Первая процедура заражает компьютер; вторая процедура эмулирует популярную игру Tetris (для скрытия процесса инсталляции червя в компьютер).

    При заражении компьютера червь ищет клиента mIRC в четырех каталогах:

    C:\Mirc
    C:\Program Files\mirc
    D:\mirc
    D:\Program Files\mirc
    

    Если mIRC-клиент обнаружен, червь создает дополнительные файлы:

  • C:\Windowsscript.bak - mIRC-скрипт (затем будет скопирован в каталог mIRC)
  • C:\backup.vbs - VBS-программа, которая затем завершает заражение компьютера
  • C:\Windows\system.exe - копия червя

    Файл "C:\backup.vbs" затем регистрируется в секции авто-запуска системного реестра:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
    SysFile = C:\Backup.vbs
    

    В результате VBS-компонента червя активизируется при каждой загрузке компьютера и завершает инсталляцию червя в систему:

  • C:\Windows\script.bak копируется в каталог mIRC с именем "script.ini"
  • C:\Windows\system.exe копируется в файл C: etris.exe

    Файл-скрипт "script.ini" затем отсылает зараженный файл "C: etris.exe" всем, кто подключается к зараженному IRC-каналу.




  • обои для раб стола
    грузовые шины Рейтинг@Mail.ru