Энциклопедия компьютерных вирусов
         

IRC-Worm.Claw


Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращениях к ним. Также ищет все файлы в текущем каталоге, открывает их и в случае COM и EXE файлов заражает их. Вирус также создает в каталоге C:\ скрытый (hidden) файл со своей копией и дописыавет его вызов к файлу C:\AUTOEXEC.BAT. Затем вирус заражает файлы WIN.COM и COMMAND.COM в системном каталоге Windows.

Для заражения клиента mIRC вирус создает в каталоге C:\MIRC два файла: MIRC_SYS.INI и свой файл-дроппер с именем CYBER.COM. Затем вирус модифицирует файл MIRC.INI в каталоге C:\MIRC и встраивает в него вызов файл MIRC_SYS.INI. Данный скрипт вызывается автоматически после старта программы mIRC. Скрипт MIRC_SYS.INI отключает вывод предупреждений программой mIRC и пересылает дроппер вируса (файл CYBER.COM) при выходе из IRC-канала.

1-го сентября вирус с некоторой вероятностью уничтожает FLASH BIOS компьютера, для этого он вызывает расширенные функции BIOS.

При старте из своего файла-дроппера вирус выводит текст:

Clawfinger

Вирус также содержит зашифрованные строки текста:

Do you know how it feels to be down in the dirt with a bullet in yer breast and blood on yer shirt Lying in a bloodpool down in a pit covered with the corpse and the blood and the shit How does it feel to have a gun at yer head when ya know that you'd be much better off dead Freedom has a price and that price is blood so chase the motherfucker right down in da mud [ WARFAIR - CLAWFINGER ]



Содержание раздела