IRC-Worm.DOS.MrWormy.1198

Другие названия
IRC-Worm.DOS.MrWormy.1198 («Лаборатория Касперского») также известен как: IRC-Worm.MrWormy.1198 («Лаборатория Касперского»), IRC/Mypic (McAfee), MrWormy.1200 (Doctor Web), mIRC/MrWormy (Sophos), Mypic.1198 (RAV), WORM_MRWORMY (Trend Micro), MIRC/CeydaDemet.B (H+BEDV), Mypic.1198 (FRISK), Trivial (Grisoft), BehavesLike:Dos.IRC-Worm (SOFTWIN)
Описание опубликовано 12 янв 2000
Поведение IRC-Worm, червь для IRC-каналов
Технические детали

Неопасный нерезидентный зашифрованный вирус-червь. Распространяется по chat-каналам mIRC и PIRCH. При заражении системы создает в каталоге C:\WINDOWS зараженный файл-дроппер MYPIC.COM и устанавливает у него атрибуты "скрытый" и "только-на-чтение". Затем червь атакует программы-клиенты mIRC и PIRCH.

При атаке на PIRCH червь перезаписывает скрипт-файл EVENTS.INI в каталоге \PIRCH98. Новый EVENTS.INI пересылает файл C:\WINDOWS\MYPIC.COM при заходе пользователя в IRC-канал. В том случае, если клиент PIRCH не найден, вирус атакует mIRC-клиента: ищет и перезаписывает файл SCRIPT.INI в каталоге \MIRC. Новый SCRIPT.INI содержит макросы, которые вызываются при выполнении пользователем определенных действий. Кроме того, в скрипте определены также расширенные команды CTCP, которые могут вызываться пользователем с удаленного компьютера. Список макросов, для которых вирус переопределяет свои обработчики:

- при соединении с сервером IRC посылает пользователю с именем "TPhunk" на этом же сервере сообщение:

I am alive

- при входе в канал любого участника разговора ему пересылается файл-дроппер вируса (файл C:\WINDOWS\MYPIC.COM).

- при появлении от какого-либо собеседника фразы, содержащей "why me", вирус запускает таймер mIRC, выполняющего атаку по протоколу CTCP на пользователя, произнесшего эту фразу.

- при получении CTCP-команды "blah" происходит выход из IRC с сообщением

I am Owned - TP ownes me

- при получении CTCP-команды "bye" происходит запуск таймера mIRC, который с периодичностью раз в секунду выполняет файл COMMAND.COM.

- при получении CTCP-команды "give" вирус передает этому пользователю файл MIRC.INI из каталога C:\MIRC.

- при получении CTCP-команды "unf" выполняет на компьютере запуск файла, указанного в параметрах команды.

- при получении CTCP-команды "ya" посылает сообщение пользователю. И пользователь и сообщение указываются в параметрах команды.

- при получении CTCP-команды "own" заменяет заголовок окна на:

You've been hax0red

- при появлении от какого-либо собеседника фразы, содержащей тект "mypic" - запуск таймера mIRC, стартующего через 30 сек. после команды и выполняющего атаку по протоколу CTCP на этого собеседника.

- при получении CTCP-команды "giveme" - посылка подавшему команду файла, имя которого определено в параметре команды. Таким образом, червь в состоянии "воровать" файлы с удаленного компьютера.

Скачать пробную версию Антивируса Касперского и купить антивирус можно на softdiscount.ru