Энциклопедия компьютерных вирусов

         

IRC-Worm.Kazimas


Сетевой вирус-червь, распространяющийся через mIRC-каналы. Попадает в компьютер как DOS EXE-файл KAZINAS.EXE длиной около 7Kb. При запуске копирует себя в несколько файлов в различные каталоги диска:

C:\WINDOWS\KAZIMAS.EXE C:\WINDOWS\SYSTEM\PSYS.EXE C:\ICQPATCH.EXE C:\MIRC\NUKER.EXE C:\MIRC\DOWNLOAD\MIRC60.EXE C:\MIRC\LOGS\LOGGING.EXE C:\MIRC\SOUNDS\PLAYER.EXE C:\GAMES\SPIDER.EXE C:\WINDOWS\FREEMEM.EXE

Затем червь инсталлирует себя в клиента mIRC, при этом инсталляция проходит успешно, только если mIRC установлен на диске C: в каталоге \MIRC. Червь изменаяет в этом каталоге файл настроек mIRC (MIRC.INI) и создает новый скрипт-файл SCRPT.INI. В настройки MIRC.INI червь записывает несколько команд, в частности - команду авто-запуска скрипта SCRPT.INI. В SCRPT.INI червь записывает команду своего размножения - рассылка в канал файла C:\WINDOWS\KAZIMAS.EXE.

Червь также затирает файл C:\AUTOEXEC.BAT и записывает в него команды восстановления своих модулей (если они уничтожены) и их запуска:

@copy c:\windows\system\psys.exe c:\windows\kazimas.exe >nul @copy c:\windows\kazimas.exe c:\kazimas.exe >nul @c:\kazimas.exe >nul @cls



Содержание раздела