Вирусы и черви: IRC-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению через IRC (Internet Relay Chats).

У этого типа червей существует два способа распространения по IRC-каналам, напоминающие способы распространения почтовых червей.

1. Первый способ:
заключается в отсылке URL на копию червя.

2. Второй способ:
отсылка зараженного файла какому-либо пользователю IRC-канала.

При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Например:

IRC-Worm.DOS.Pron.576 — Сетевой вирус-червь. Зашифрован. Размножается в IRC-каналах и использует для своего размножения mIRC-клиента. Имеет очень небольшую длину - всего 582 байта. Передается из сети на компьютер в виде файла PR0N.BAT.

При его запуске вирус копирует себя в файл PR0N.COM и запускает его на выполнение. Заголовок вируса устроен таким образом, что он в состоянии выполняться как BAT-, так и COM-программа, и в результате управление передается на основную процедуру заражения системы.

При заражении системы вирус использует очень простой прием: он копирует свой BAT-файл в текущий каталог и в каталог C:\WINDOWS\SYSTEM (если таковой отсутствует, то вирус не в состоянии заражить систему). Затем вирус также записывает свой код в файл WINSTART.BAT в корне диска C:.

Для распространения своего кода через mIRC вирус создает новый файл SCRIPT.INI в каталоге mIRC-клиента. Этот каталог вирус ищет по четырем вариантам:

C:\MIRC
C:\MIRC32
C:\PROGRA~1\MIRC
C:\PROGRA~1\MIRC32

Скрипт вируса содержит всего одну команду - каждому пользователю, подключающемуся к зараженному каналу, передается вирусный файл PR0N.BAT.