Как оказалось, мощная и разветвленная система команд IRC-клиентов позволяет
на основе их скриптов создавать компьютерные вирусы, передающие свой код на
компьютеры пользователей сетей IRC, так называемые "IRC-черви". Первый инцидент
с IRC-червем зафиксирован в конце 1997 года: пользователями mIRC-клиента был
обнаружен скрипт (файл SCRIPT.INI), переносивший свой код через каналы IRC и
заражавший mIRC-клиентов на компьютерах пользователей, подключавшихся к
зараженным каналам. Как оказалось, скрипт-черви являются достаточно простыми
программами, и через довольно короткое время на основе первого mIRC-червя были
созданы и "выпущены" в сети несколько десятков различных скрипт-червей.
Принцип действия таких IRC-червей примерно одинаков. При помощи IRC-команд
файл сценария работы (скрипт) или реакции на IRC-события автоматически
посылается с зараженного компьютера каждому вновь присоединившемуся к каналу
пользователю. Присланный файл-сценарий замещает стандартный и при следующем
сеансе работы уже вновь зараженный клиент будет рассылать червя.
Черви при этом используют особенности конфигурации клиента (всех версий
mIRC младше 5.31 и всех версий PIRCH до PIRCH98), благодаря которой принимаемые
файлы всех типов помещаются в корневой каталог клиента. Этот каталог также
содержит и основные скрипты клиента, включая авто-загружаемые mIRC-скрипты
SCRIPT.INI, MIRC.INI и PIRCH-скрипт EVENTS.INI. Данные скрипты автоматически
исполняются клиентом при старте и в дальнейшем используются как основной
сценарий его работы.
Некоторые IRC-черви также содержат троянский компонент: по заданным
ключевым словам производят разрушительные действия на пораженных компьютерах.
Например, червь "pIRCH.Events" по определенной команде стирает все файлы на
диске пользователя.
В скрипт-языках клиентов mIRC и PIRCH также существуют операторы для
запуска обычных команд операционной системы и исполняемых модулей (программ)
DOS и Windows. Эта возможность IRC- скриптов послужила основой для появления
скрипт-червей нового поколения, которые помимо скриптов заражали компьютеры
пользователей EXE-вирусами, устанавливали "троянских коней", и т.п.
Скрипт-черви работоспособны только в том случае, если пользователь
разрешает копирование файлов из сети на свой компьютер. Данная опция
IRC-клиентов называется 'DCC autoget' - получение файлов по протоколу
DCC автоматически и без предупреждающего сообщения. При отключенной опции
зараженный файл принимается, помещается в каталог клиента и в следующем
сеансе работы продолжает свое распространение. При этом пользователь не
получает никаких предупреждающих сообщений.
Следует отметить, что фирма-изготовитель клиента mIRC отреагировала
достаточно оперативно и буквально через несколько дней после появления
первого червя выпустила новую версию своего клиента, в которой были закрыты
пробелы в защите.
mIRC.Acoragil и mIRC.Simpsalapim
Первые известные mIRC-черви. Обнаружены в конце ноября - начале декабря
1997. Названия получили по кодовым словам, которые используются червями:
если в тексте, переданном в канал каким-либо пользователем присутствует
строка "Acoragil", то все пользователи, зараженные червем "mIRC.Acoragil"
автоматически отключаются от канала. То же самое происходит с червем
"mIRC.Simpsalapim" - он аналогично реагирует на строку "Simpsalapim".
При размножении черви командами mIRC пересылают свой код в файле
SCRIPT.INI каждому новому пользователю, который подключается к каналу.
Содержат троянскую часть. "mIRC.Simpsalapim" содержит код захвата канала
IRC: если mIRC владельца канала заражен, то по вводу кодового слова "ananas",
злоумышленник перехватывает управление каналом.
"mIRC.Acoragil" по кодовым словам пересылает системные файлы DOC, Windows
или UNIX. Некоторые кодовые слова выбраны таким образом, что не привлекают
внимания жертвы - hi, cya или the. Одна из модификаций этого червя пересылает
злоумышленнику файл паролей UNIX.
Win95.Fono
Опасный резидентный файлово-загрузочный полиморфик-вирус. Использует mIRC
как один из способов своего распространения: перехватывает системные события
Windows и при запуске файла MIRC32.EXE активизирует свою mIRC-процедуру. При
этом открывает файл MIRC.INI и записывает в его конец команду, снимающую
защиту:
[fileserver]
Warning=Off
Затем создает файлы SCRIPT.INI и INCA.EXE. Файл INCA.EXE содержит дроппер
вируса, скрипт файла SCRIPT.INI пересылает себя и этот дроппер в канал IRC
каждому присоединившемуся к каналу и каждому выходящему с канала.
pIRCH.Events
Первый известный PIRCH-червь. Рассылает себя каждому присоединившемуся к
каналу пользователю. По ключевым словам выполняет различные действия, например:
по команде ".query" происходит своего рода перекличка, по которой зараженные системы отвечают <Да, я уже заражена>;
по команде ".exit" завершает работу клиента.
По другим командам червь удаляет все файлы с диска С:, предоставляет доступ
к файлам на зараженном компьютере, и т.д.
IRC-Worm.Adrenaline
Вирус-червь, заражающий EXE-файлы Windows и распространяющий свои копии по
чат-каналам IRC. Червь является приложением Windows, написан на Visual C++ и
упакован утилитой компрессии PE EXE-файлов PECompact (упакованный размер -
около 35K, распакованный - около 65K).
При запуске вирус заражает EXE-файлы в каталоге Windows. При заражении вирус
сдвигает файлы вниз на свою длину и записывает свой код в начало файлов. Для
того, чтобы вернуть управление программе-носителю, вирус создает новый файл
HOSTFILE.EXE, "лечит" в него файл-носитель, запускает его на выполнение и
затем удаляет. Вирус не заражает файл, если первый символ файла: 'E', 'P',
'R', 'T', или 'W'; или 3-й символ - 'D'; или 5-й символ - 'R'.
Вирус также заражает EXE-файлы в каталоге C:\MIRC\DOWNLOAD, при этом он не
обращает внимания на имена файлов.
Для распространения по каналам IRC вирус создает свою копию в системном
каталоге Windows (имя копии вируса - BUGFIX.EXE) и записывает в системный
файл mIRC-клиента (SCRIPT.INI) процедуру, состоящую всего из одной команды -
посылка файла-вируса BUGFIX.EXE всем пользователям, подключающимся к каналу.
Для описанного выше заражения вирус ищет клиента mIRC в каталогах MIRC
и PROGRA~1\MIRC на всех дисках от C: до F:.
Затем вирус подключается К почтовой системе MS Outlook и рассылает
"спам"-письма (вирус не рассылает свои EXE-копии, а только текстовые письма).
При каждом запуске вирус отсылает 15 писем на адрес
"Rhape79@ultimatechaos.demon.co.uk". Письма имеют случайно сгенерированный
текстовый заголовок и тело письма.
IRC-Worm.Banishing
mIRC-червь, объединенный с резидентным зашифрованным стелс DOS-вирусом.
Вирусная часть перехватывает INT 21h и записывается в конец DOS COM- и
EXE-файлов при их запуске или открытии.
Для заражения mIRC-каналов в каталог C:\MIRC записывается новый файл
SCRIPT.INI, который содержит команды передачи себя (скрипт-файла)
пользователям при приеме/передаче файлов от них и при выходе из канала.
При этом передается только скрипт-компонента, а не целиком DOS- вирус.
Зараженный скрипт проявляется сообщениями. При подключении зараженного
клиента к IRC- серверу червь временно переключается на канал "virus" и
посылает в него текст:
Will not the mountains quake and hills melt at the coming of the darkness?
Dark Banishing V1.0
Аналогичный текст посылается в зараженный канал, если в нем обнаружена
строка "virus".
Червь также содержит строки:
Dark Banishing Version 1.0
Dark Banishing V1.0 By VxFaeRie
IRC-Worm.Claw
Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и
записывается в конец COM- и EXE-файлов при обращениях к ним. Также ищет все
файлы в текущем каталоге, открывает их и в случае COM и EXE файлов заражает
их. Вирус также создает в каталоге C: скрытый (hidden) файл со своей копией
и дописывает его вызов к файлу C:\AUTOEXEC.BAT. Затем вирус заражает файлы
WIN.COM и COMMAND.COM в системном каталоге Windows.
Для заражения клиента mIRC вирус создает в каталоге C:\MIRC два файла:
MIRC_SYS.INI и свой файл-дроппер с именем CYBER.COM. Затем вирус модифицирует
файл MIRC.INI в каталоге C:MIRC и встраивает в него вызов файл MIRC_SYS.INI.
Данный скрипт вызывается автоматически после старта программы mIRC. Скрипт
MIRC_SYS.INI отключает вывод предупреждений программой mIRC и пересылает
дроппер вируса (файл CYBER.COM) при выходе из IRC-канала.
1-го сентября вирус с некоторой вероятностью уничтожает FLASH BIOS
компьютера, для этого он вызывает расширенные функции BIOS.
При старте из своего файла-дроппера вирус выводит текст:
Clawfinger
Вирус также содержит зашифрованные строки текста:
Do you know how it feels to be down in the dirt with a bullet
in yer breast and blood on yer shirt Lying in a bloodpool down
in a pit covered with the corpse and the blood and the shit
How does it feel to have a gun at yer head when ya know that
you'd be much better off dead Freedom has a price and that price
is blood so chase the motherfucker right down in da mud
[ WARFAIR - CLAWFINGER ]
IRC-Worm.Crack
Достаточно примитивный IRC-червь, распространяющийся по чат-каналам IRC.
Является EXE- файлом Win32 размером около 3Kb (упакован, после распаковки
размер файла - около 10K).
При запуске червь копирует себя в каталог Windows с именем CRACK.EXE и
заражает клиента mIRC. При заражении червь ищет клиента mIRC в двух каталогах:
C:\MIRC
D:\MIRC
Если mIRC-клиент найден, червь создает в его каталоге новый управляющий
скрипт-файл SCRIPT.INI, в которые записывает несколько команд. Эти команды
посылают файл-червь CRACK.EXE пользователям, присоединяющимся к зараженному
каналу; и также при подключении к IRC-серверу посылают сообщения в чат-группы:
Сообщение в "vxers":
I'm wide awake in my kitchen, it's dark and I'm lonely, oh if I could
only get some sleep.. Creeky noises make my skin creep. I need to get
some sleep.. I can't get no sleep....
Сообщение в "cservice":
PLEASE join #vxers, and visit http://www.shadowvx.com/4Q and
http://www.shadowvx.com/fun4vxers .. We're the best!
IRC-Worm.Edoc
Достаточно простой сетевой вирус-червь. Размножается в IRC-каналах.
Этот червь посылает следующее сообщение всем пользователям (кроме оператора
канала), которые присоединяются к каналу, к которому подключен инфицированный
пользователь:
hey to get OPs use this hack in the chan but SHH!
////$decode(d3JpdG..................................................
..........................................................
..........................................................
..........................................................
.........................................................
.........................SkgLG0p,m) | $decode(Lmxv........IMQ= ,m)
(точками заменено тело червя)
В этом сообщении, линия, начинающаяся с "//" - является командой (скрипт)
и содержит тело червя в MIME base64 кодировке.
Если пользователь, который получил сообщение, запустит скрипт, червь
создаст файл, который распространит червя далее в IRC каналах, и добавляет
ссылку в "mirc.ini", на вирусный файл.
IRC-Worm.ElSpy
Сетевой вирус-червь. Размножается в IRC-каналах и использует для своего
размножения mIRC- клиента. Передается из сети на компьютер в виде DOS-файла
EL15_BMP..EXE. При его запуске вирус инсталлирует себя в систему: копирует
себя в каталог WindowsSystem и модифицирует скрипт-файл SYSTEM.INI таким
образом, что копия червя передается каждому пользователю, подключающемуся
к зараженному каналу.
Червь также имеет дополнительные "возможности": сообщает своему "хозяину"
IP-адреса зараженных компьютеров, открывает диск C: как файл-сервер, и т.п.
Вирус содержит текст:
Designed by Del_Armg0____26 Juin 1999____Keep It Load!
Magicд%Software (c) 1999
IRC-Worm.Godog
IRC-червь, поражающий клиента mIRC и рассылающий себя в IRC-каналы. Является
DOS- программой. При запуске копирует себя в каталог MIRC под именем GhostDog.exe
и создает там же управляющий скрипт-файл SCRIPT.INI. Даный файл содержит
инструкции, которые передают копию червя в IRC-канал при подключении к нему
новых пользователей. Скрипт червя также не показывает сообщения, если в них
содерджится строка "virus" или "worm".
Отличительной особенностью червя является тот факт, что скрипт-команды в
файле SCRIPT.INI полиморфны: они могут быть переставлены местами; между ними
может присутствовать случайно сгенерированные строки-комментарии; текстовые
символы самих команд имеют случайно выбранный регистр (большие/маленькие
символы). Например:
n0=$40Yw840RIGlx6Amlp7G0JaZ4QTs840N
n1=On 1^tExt^*WoRm*^*^{ /Ignore $nick | /closeMsg $NiCk }
n2=$HyX5NMq840KBAfrpTGfj7Z0DuT5J6m840GXWb1lQcbe7V0ZpT5F5j840CTRwihMYW
Несмотря на такой необычный вид скрипт-команды червя вполне работоспособны.
IRC-Worm.Kazimas
Сетевой вирус-червь, распространяющийся через mIRC-каналы. Попадает в
компьютер как DOS EXE-файл KAZINAS.EXE длиной около 7Kb. При запуске копирует
себя в несколько файлов в различные каталоги диска:
C:\WINDOWSKAZIMAS.EXE
C:\WINDOWS\SYSTEM\PSYS.EXE
C:\ICQ\PATCH.EXE
C:\MIRC\NUKER.EXE
C:\MIRC\DOWNLOAD\MIRC60.EXE
C:\MIRCLOGS\LOGGING.EXE
C:\MIRC\SOUNDS\PLAYER.EXE
C:\GAMES\SPIDER.EXE
C:\WINDOWS\FREEMEM.EXE
Затем червь инсталлирует себя в клиента mIRC, при этом инсталляция проходит
успешно, только если mIRC установлен на диске C: в каталоге MIRC. Червь
изменаяет в этом каталоге файл настроек mIRC (MIRC.INI) и создает новый
скрипт-файл SCRIPT.INI. В настройки MIRC.INI червь записывает несколько
команд, в частности - команду авто-запуска скрипта SCRPT.INI. В SCRPT.INI
червь записывает команду своего размножения - рассылка в канал файла
C:\WINDOWS\KAZIMAS.EXE.
Червь также затирает файл C:\AUTOEXEC.BAT и записывает в него команды
восстановления своих модулей (если они уничтожены) и их запуска:
@copy c:\windows\system\psys.exe c:windows\kazimas.exe >nul
@copy c:\windows\kazimas.exe c:\kazimas.exe >nul
@c:kazimas.exe >nul
@cls
IRC-Worm.Lara
Достаточно простой сетевой вирус-червь. Размножается в IRC-каналах и
использует для своего размножения mIRC-клиента.
Это первый известный интернет-червь который распространяется в файлах
"Тема Рабочего стола" (Desktop Themes).
Передается из сети на компьютер в виде файла "LaraCroft.theme"
При запуске этого файла червь определяет где располагается mIRC-клиент,
создает в каталоге Windows вспомогательный VBS файл и запускает его.
Данный файл записывает свой скрипт в файл SCRIPT.INI При помощи своего
скрипта червь передает исходный "LaraCroft.theme" файл всем пользователям,
подключающимся к каналу.
IRC-Worm.Loa
Сетевой вирус-червь. Размножается в IRC-каналах и использует для своего
размножения mIRC- клиента. Передается из сети на компьютер в виде DOS
EXE-файла со случайным именем. При его запуске вирус копирует себя под
именем LOA.EXE в каталог Windows и записывает информацию об этом файле в
секцию авто-запуска системного реестра Windows:
LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices:
"Life of Agony"="loa.exe"
Для распространения своего кода через mIRC вирус создает новый скрипт-файл
в каталоге mIRC- клиента. При запуске вирусный скрипт передает зараженный
EXE-файл всем пользователям, подключающимся к зараженному каналу.
Вирус маскируется под антивирусную программу, уничтожающую другого
mIRC-червя ("DM-Setup"), причем вирус действительно ищет и удаляет файлы
этого червя. При этом вирус выводит сообщения:
You are about to scan your harddrive for the DMSetup virus, it is
crucial that you run this program without mIRC active, so if you
are still in mIRC at the moment, type /EXIT before you continue.
Press any key if mIRC is not active...
В зависимости от текущей даты и прочих условий вирус маскируется под прочие
антивирусные программы:
PowerBit anti-virus v3.34, (C)opyrighted 1999 by PB Systems.
SHAREWARE - REGISTER?
YES!
Scan completed, no viruses were found.
The Ultimate Chaos Website 2 - http://sourceofkaos.com/homes/ultchaos
Visit me...
NOW!
Not detected.
WaReZ SCaNNeR bY oDELiOFiLThY [SuCK]... ViSiT #warez !
SeLF CHeCK:
oKeY
nO WaReZ wErE FoUnD aT DRiVe C: !!!
DrSolomon Anti-Virus Toolkit v10.00 - SPECIAL EDITION -
Scanning memory (DOSUMBHMAXMS)...
No viruses found in memory
No viruses were found.
ScanDisk 2.00, (C)Copyright Microsoft Corp 1981-1998.
Checking critical areas...
OK
No errors were detected.
Anti-Back-Orifice II.A, detects/removes all BO-instances from your system.
Checking registry...
BO was not found in the registry
System clean, visit http://sourceofkaos.com/homes/ultchaos for updates.
TERA SPOOF-INSTALLER VERSION 6.66
Checking shadow-RAM...
located at x0FA56D6A4h
Failed to install spoof, SPSOCK64.DLL missing.
WinGater by Terminatius [Finds installed WinGates at your system].
Locating registry:
REGISTRY.REG
No WinGates found, go to Undernet, #wingater for help.
Thunderbyte virus-detector v9.24, - (C) Copyright 1989-1999 Thunderbyte B.V.
SANITY CHECK:
OK!
No viruses were found.
Anti-Nuke written by cDc - Cult of the Dead Cow.
Checking V86 interrupts...
No polling detected
No nuke-programs found.
LOA''s Kill-DMSetup version 2.2, - SHAREWARE
Checking memory...
OK
Completed!
KILL-CIH v2.0. --> kills all known CIH-strains! <--
Memory check...
passed
CIH has not been detected at your system.
При запуске зараженного файла с ключем /SECRET вирус выводит текст:
=[ Life of Agony 1.30, (c) 1998 by T-2000 / Immortal Riot ]=
Hi! I am the [LIFE OF AGONY] worm, and I''m gonna fuck you up REAL bad!
LIFE OF AGONY
IRC-Worm.Lucky
Сетевой вирус-червь. Размножается в IRC-каналах и использует для своего
размножения клиентов mIRC и PIRCH. Передается из сети на компьютер в виде
Windows PE EXE-файла LK7.EXE размером около 500Kb. При его запуске вирус
инсталлирует себя в систему: копирует себя в каталог C:\WINDOWS, ищет и
модифицирует системные скрипты клиентов mIRC и PIRCH в текущем каталоге,
в каталогах C:\MIRC, C:\MIRC32 и C:\PIRCH98.
Червь также инсталлирует в систему троянца "Backdoor.NetBus". Для этого
червь создает на диске его копию с именем IRCPATCH.EXE в каталоге C:\WINDOWS
(код троянца вирус хранит в своем теле) и запускает ее на выполнение.
Червь содержит текст-копирайт:
LUCKY B.R.D 1994-99 [LK-7]...
Для распространения своего кода через mIRC червь создает новый скрипт-файл
LK7.INI и устанавливает на него ссылку в файле MIRC.INI. При активизации
скрипт-файл червя перехватывает работу с IRC-каналом и обрабатывает различные
действия:
при входе нового пользователя в канал или при передаче файлов червь
посылает данному пользователю свою копию (файл C:\WINDOWS\LK7.EXE);
при обнаружении в канале строки "leave!!!" червь отвечает от имени
зараженного пользователя "Your will is my command" и покидает канал;
при обнаружении строки "LUCKY !!" червь посылает в канал сообщение
"I am a Lamer !!" и меняет nick пользователя на "Lamer";
на текст "Die!!!" червь реагирует сообщением "Be sure, I will commit
suicide now .. RIP" и выходит из "чата";
на текст "virus" или "virii" червь сообщает в канал: "I am infected
with [LK-7]..By LUCKY B.R.D 1994- 99.Win32 VIRUS";
и т.п.
Червь также модифицирует ключи системного реестра, отвечающие за
обработку различных событий клиента mIRC, и также использует их для передачи
своей копии в IRC-каналы.
Для распространения себя через PIRCH червь создает новый скрипт-файл
EVENTS.INI в каталоге PIRCH-клиента. Файл EVENTS.INI содержит команду,
передающую файл червя C:\WINDOWS\LK7.EXE всем пользователям, подключающимся
к зараженному каналу.
Варианты
Известно несколько вариантов червя. Они являются его переделками (не
всегда работоспособнымии) и весьма урезаны: заражают только клиента mIRC,
не устанавливают backdoor-троянца. Распространяются под именами:
"Lucky.b": CLICK-IT.EXE
"Lucky.c": APPOLO.EXE
IRC-Worm.Mabra
Достаточно простой сетевой вирус-червь. Размножается в IRC-каналах и
использует для своего размножения mIRC-клиента. Передается из сети на
компьютер в виде DOS-файла MABRA.EXE, CDMAN.EXE или GLADYS.EXE (в зависимости
от верси червя), размер файла - около 14kb. При его запуске червь копирует
себя в каталог C:\WINDOWS, C:\WINDOWS\SYSTEM или C:\WINDOWS\SYSTEM32 (в
зависимости от своей версии) и записывает свой скрипт в файл SCRIPT.INI в
каталоге C:\MIRC. При помощи своего скрипта червь передает исходный EXE-файл
всем пользователям, подключающимся к каналу.
В зависимости от системного времени червь стирает файл C:\WINDOWS\WIN.COM.
IRC-Worm.Milbug
Сетевой червь, распространяющийся через mIRC-каналы. Попадает в компьютер
как DOS EXE- файл MILBUG_A.EXE или MILBUG_B.EXE (в зависимости от версии червя)
длиной около 10Kb. При запуске записывает в файл SCRIPT.INI в каталоге C:\MIRC
свой собственный скрипт, содержащий всего две команды. Первая команда посылает
каждому новому пользователю в канале сообщение:
I'm testing my millenium bug fix program. Receive it and test it
Вторая команда посылает этому пользователю зараженный EXE-файл MILBUG.
Червь не имеет никаких деструктивных процедур и никак более не проявляется.
IRC-Worm.MrWormy
Неопасный нерезидентный зашифрованный вирус-червь. Распространяется по
chat-каналам mIRC и PIRCH. При заражении системы создает в каталоге C:\WINDOWS
зараженный файл-дроппер MYPIC.COM и устанавливает у него атрибуты "скрытый" и
"только-на-чтение". Затем червь атакует программы-клиенты mIRC и PIRCH.
При атаке на PIRCH червь перезаписывает скрипт-файл EVENTS.INI в каталоге
PIRCH98. Новый EVENTS.INI пересылает файл C:\WINDOWS\MYPIC.COM при заходе
пользователя в IRC-канал. В том случае, если клиент PIRCH не найден, вирус
атакует mIRC-клиента: ищет и перезаписывает файл SCRIPT.INI в каталоге MIRC.
Новый SCRIPT.INI содержит макросы, которые вызываются при выполнении
пользователем определенных действий. Кроме того, в скрипте определены
также расширенные команды CTCP, которые могут вызываться пользователем с
удаленного компьютера. Список макросов, для которых вирус переопределяет свои
обработчики:
при соединении с сервером IRC посылает пользователю с именем "TPhunk"
на этом же сервере сообщение:
I am alive
при входе в канал любого участника разговора ему пересылается файл-дроппер
вируса (файл C:\WINDOWS\MYPIC.COM).
при появлении от какого-либо собеседника фразы, содержащей "why me", вирус
запускает таймер mIRC, выполняющего атаку по протоколу CTCP на пользователя,
произнесшего эту фразу.
при получении CTCP-команды "blah" происходит выход из IRC с сообщением
I am Owned - TP ownes me
при получении CTCP-команды "bye" происходит запуск таймера mIRC, который с
периодичностью раз в секунду выполняет файл COMMAND.COM.
при получении CTCP-команды "give" вирус передает этому пользователю файл
MIRC.INI из каталога C:MIRC.
при получении CTCP-команды "unf" выполняет на компьютере запуск файла,
указанного в параметрах команды.
при получении CTCP-команды "ya" посылает сообщение пользователю. И
пользователь и сообщение указываются в параметрах команды.
при получении CTCP-команды "own" заменяет заголовок окна на:
You've been hax0red
при появлении от какого-либо собеседника фразы, содержащей тект "mypic"
- запуск таймера mIRC, стартующего через 30 сек. после команды и выполняющего
атаку по протоколу CTCP на этого собеседника.
при получении CTCP-команды "giveme" - посылка подавшему команду файла,
имя которого определено в параметре команды. Таким образом, червь в состоянии
"воровать" файлы с удаленного компьютера.
IRC-Worm.Pron
Сетевой вирус-червь. Зашифрован. Размножается в IRC-каналах и использует
для своего размножения mIRC-клиента. Имеет очень небольшую длину - всего
582 байта. Передается из сети на компьютер в виде файла PR0N.BAT. При его
запуске вирус копирует себя в файл PR0N.COM и запускает его на выполнение.
Заголовок вируса устроен таким образом, что он в состоянии выполняться как
BAT-, так и COM-программа, и в результате управление передается на основную
процедуру заражения системы.
При заражении системы вирус использует очень простой прием: он копирует
свой BAT-файл в текущий каталог и в каталог C:\WINDOWS\SYSTEM (если таковой
отсутствует, то вирус не в состоянии заражить систему). Затем вирус также
записывает свой код в файл WINSTART.BAT в корне диска C:.
Для распространения своего кода через mIRC вирус создает новый файл
SCRIPT.INI в каталоге mIRC-клиента. Этот каталог вирус ищет по четырем
вариантам:
C:\MIRC
C:\MIRC32
C:\PROGRA~1\MIRC
C:\PROGRA~1\MIRC32
Скрипт вируса содержит всего одну команду - каждому пользователю,
подключающемуся к зараженному каналу, передается вирусный файл PR0N.BAT.
Вирус содержит строку-"копирайт":
IRC-pr0n.bat v1.0 (c) nUcLeii 1999
IRC-Worm.Radex
Вирус-червь. Распространяется через IRC каналы в виде BAT файла. Червь
является скрипт файлом BAT, имеет размер 3000 байт.
Червь копирует себя в следующие BAT файлы:
C:\Windows\winstart.bat
C:\Windows\LINUX_SH_DOS_BAT_WIN_JS.bat
C:\Win95\LINUX_SH_DOS_BAT_WIN_JS.bat
C:\Win98\LINUX_SH_DOS_BAT_WIN_JS.bat
C:\WinME\LINUX_SH_DOS_BAT_WIN_JS.bat
Далее он создает на диске файл JS-файл LINUX_SH_DOS_BAT_WIN_JS.js, который затем запускает на выполнение.
JS файл выводит диалоговое окно с заголовком и содержимым:
Radix16/SMF SH-BAT-JS
Затем червь отсылает письмо с вирусом на единственный адрес электронной
почты:
Radix16@atlas.cz
Зараженное письмо содержит:
Заголовок: SHBATJS
Текст: crazzy bat :) testing MS OTLOOK in the (WORLD)
Имя вложения: LINUX_SH_DOS_BAT_WIN_JS.bat
Червь также создает файл C:\MIRCSCRIPT.INI. INI файл рассылает BAT
компоненту червя всем входящим в каналы IRC.
Инсталляция
Червь добавляет в начало файла WIN.INI строку, которая запускает его
JS-компоненту при каждом старте Windows.
Червь содержит строки текста:
# /bin/sh
-=LINUX START=-
-=DOS/WIN START=-
ONLY SAMPLE (TEST) LINUX SH DOS BAT WIN JS ...........
WoRlD iS mY
IRC-Worm.Readme.1077
Сетевой вирус-червь. Размножается в IRC-каналах и использует для своего
размножения mIRC- клиента. Передается из сети на компьютер в виде DOS-файла
README.EXE. При его запуске вирус инсталлирует себя в DOS-память, перехватывает
INT 21h и затем записывается в конец запускаемых COM-файлов DOS. Код вируса в
файлах зашифрован.
Вирус также создает в корне диска C: своего "дроппера" - DOS-программу
README.EXE, которая имеет атрибут "hidden" (скрытый). Вирус также "регистрирует"
эту программу в файле AUTOEXEC.BAT: записывает в ее начало команду запуска
своего "дроппера".
Для распространения своего кода через mIRC вирус создает новый файл
SCRIPT.INI в каталоге mIRC-клиента C:\INTERNET\MIRC (если таковой каталог
присутствет в системе). Вирусный файл SCRIPT.INI содержит всего одну команду,
передающую файл-дроппер README.EXE всем пользователям, подключающимся к
зараженному каналу.
Вирус содержит текст:
;-)x
whose name means dark matter vir-L
IRC-Worm.Septic
Нерезидентный зашифрованный вирус-червь, заражающий COM-, EXE- и BAT-файлы
DOS. Также распространяет свои копии через каналы mIRC и дописывает к
HTML-файлам команды, распространяющие вирус через Интернет при обращении
броузера к зараженной HTML-странице.
Вирус проявляется по первым и вторым числам каждого месяца: выводит
сообщения и вызывает видео-эффект, который при помощи VGA-команд меняет
палитру монитора с режима белый-на-черном на черный-на-белом и назад.
Сообщения выглядят следующим образом:
По первым числам:
Only in your dreams you can be truly free!
~+DarK.MeSsiAh+~ written by SeptiC [TI]
По вторым числам:
Pure evil comes from within! ~+DarK.MeSsiAh+~
Written by SeptiC [TI]
Вирус содержит блокировщик своего распространения: если в корне диска C:
присутствует файл _VAC.TXT, то вирус не вызывает свои процедуры размножения.
Вместо этого он выводит сообщение и возвращает управление программе-носителю:
You are protected by a devine power
~+DarK.MeSsiAh+~ will not touch your files
Заражение COM- и EXE-Файлов
Процедура поиска и заражения выполняемых файлов DOS является основной
частью вируса. Эта процедура получает управление при запуске зараженных
файлов, ищет на дисках COM- и EXE- файлы DOS и записывает код вируса в их
конец.
Вирус ищет файлы для заражения в текущем каталоге и его родительских
каталогах, во всех подкаталогах дисков от C: до G: включительно. Вирус
проверяет имена файлов и не заражает Файлы с именами: COMMAND, ?GA*, ??NP*,
???GW*; запускает процедуру заражения клиента mIRC, если обнаружен файл с
именем MI* (MIRC.EXE, MIRC32.EXE); портит антивирусные файлы с именами: F-*,
TO*, TB*, SC*, AV* (F-PROT, TBAV, SCAN, AVP) - записывает вместо них программу,
которая при запуске выводит текст:
~+DarK.MeSsiAh+~ a Digital Touch of DarKness! Written by SeptiC [TI]
Вирус также уничтожает файлы с именем ANTI-VIR.DAT.
Заражение BAT-файлов
Вирус также ищет и заражает BAT- и HTML-файлы в тех же каталогах тех же
дисков. При заражении BAT-файлов вирус записывает в их конец несколько
инструкций, модифицирующих исполнение DOS-команды "dir". При помощи
DOS-команды DOSKEY вирус заменяет команду "dir" на две инструкции:
первая исполняет дроппер вируса PORNO.COM, вторая вызывает "настоящую"
DOS- команду "dir". Таким образом при вызове инструкции "dir" в DOS-окне
управление получает дроппер вируса, который также ищет и заражает файлы
на всех перечисленных выше дисках.
Затем вирус тем же способом открывает и модифицирует файл C:\AUTOEXEC.BAT.
Дроппер PORNO.COM создается вирусом в Command-каталоге Windows. Вирус ищет
этот каталог по трем вариантам:
C:\WINDOWS\COMMAND
C:\WIN95\COMMAND
C:\WIN98\COMMAND
Если такой каталог не обнаружен, вирус создает дроппер PORNO.COM в текущем
каталоге.
Заражение HTML-файлов
При заражении HTML-файла вирус создает в том же каталоге, где обнаружен файл,
еще один свой дроппер PATCH.COM и записывает в конец HTML-файла небольшой набор
из HTML-инструкций, передающих код вируса через Интернет. Эти инструкции
добавляют к первоначальному тексту HTML-файла две строки:
Download The Latest Patch!
Click Here!
Строка "Click Here!" является линком, при вызове которого броузер
докачивает и запускает на компьютере зараженный файл-дроппер PATCH.COM.
В результате пораженные HTML-страницы "продолжены" текстом вируса, который
предлагает обновить установленное программное обеспечение. Естественно, что
вместо этого на удаленный компьютер передается копия вируса.
Скрипты mIRC
Вирус заражает установленного на компьютере клиента mIRC. Для этого вирус
определяет его каталог по шести возможным вариантам:
C:\MIRC
C:\MIRC32
C:\PROGRAM\MIRC
C:\PROGRAM\MIRC32
C:\PROGRA~1\MIRC
C:\PROGRA~1\MIRC32
затем создает в каталоге mIRC-клиента зараженный SCRIPT.INI, который при
очередном запуске клиента активизируется и определяет работу пользователя в
каналах IRC.
Зараженный SCRIPT.INI содержит несколько инструкций. Основными из них
являются команды передачи вируса пользователям IRC-канала: при приеме/посылке
файлов вирус передает соответствующему пользователю свой зараженный
файл-дроппер PORNO.COM
Вирус также посылает различные сообщения в канал. При подключении
зараженного клиента к каналу вирус передает пользователю с именем "SeptiC_dm"
сообщение:
I am your servant! I have been turned into a zealot of darkness
Если в канале появляется сообщение, в котором присутствует строка
"D.Messiah", вирус передает в канал текст:
Only in your dreams you can be truly free!
~+DarK.MeSsiAh+~ Written by SeptiC [TI]
Если обнаружена строка "666", вирус изменяет тему канала (которая выводится
в заголовок окна канала), если зараженный пользователь имеет достаточный
привелегии для этого. Новый заголовок выглядит следующим образом:
~+DarK.MeSsiAh+~ a Digital Touch of DarKness! Written by SeptiC [TI]
Если обнаружена строка "sacrifice" все зараженные пользователи отключаются
от канала с сообщением:
Your word is my command, Power to satan!
IRC-Worm.Sonne
Сетевой вирус-червь. Размножается в IRC-каналах и использует для своего
размножения mIRC-клиента. Передается из сети на компьютер в виде VBE-файла
"Sonnet.vbe". При его запуске вирус инсталлирует себя в систему: копирует
себя в каталог Windows и модифицирует скрипт-файл Script.ini таким образом,
что копия червя передается каждому пользователю, подключающемуся к зараженному
каналу.
IRC-Worm.Tetris
IRC-червь, распространяющийся по IRC-каналам. Представляет из себя
приложение Win32 (PE EXE-файл) размера около 70K. Код червя содержит две
основные процедуры, обе из которых активизируются при запуске червя. Первая
процедура заражает компьютер; вторая процедура эмулирует популярную игру
Tetris (для скрытия процесса инсталляции червя в компьютер).
При заражении компьютера червь ищет клиента mIRC в четырех каталогах:
C:\Mirc
C:\Program Files\mirc
D:\mirc
D:\Program Files\mirc
Если mIRC-клиент обнаружен, червь создает дополнительные файлы:
C:\Windowsscript.bak - mIRC-скрипт (затем будет скопирован в каталог mIRC)
C:\backup.vbs - VBS-программа, которая затем завершает заражение компьютера
C:\Windows\system.exe - копия червя
Файл "C:\backup.vbs" затем регистрируется в секции авто-запуска системного
реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SysFile = C:\Backup.vbs
В результате VBS-компонента червя активизируется при каждой загрузке
компьютера и завершает инсталляцию червя в систему:
C:\Windows\script.bak копируется в каталог mIRC с именем "script.ini"
C:\Windows\system.exe копируется в файл C: etris.exe
Файл-скрипт "script.ini" затем отсылает зараженный файл "C: etris.exe"
всем, кто подключается к зараженному IRC-каналу. | 
