Энциклопедия компьютерных вирусов
IRC-Worm.Lucky
Сетевой вирус-червь. Размножается в IRC-каналах и использует для своего размножения клиентов mIRC и PIRCH. Передается из сети на компьютер в виде Windows PE EXE-файла LK7.EXE размером около 500Kb. При его запуске вирус инсталлирует себя в систему: копирует себя в каталог C:\WINDOWS, ищет и модифицирует системные скрипты клиентов mIRC и PIRCH в текущем каталоге, в каталогах C:\MIRC, C:\MIRC32 и C:\PIRCH98.
Червь также инсталлирует в систему троянца "Backdoor.NetBus". Для этого червь создает на диске его копию с именем IRCPATCH.EXE в каталоге C:\WINDOWS (код троянца вирус хранит в своем теле) и запускает ее на выполнение.
Червь содержит текст-копирайт:
LUCKY B.R.D 1994-99 [LK-7]...
Для распространения своего кода через mIRC червь создает новый скрипт-файл LK7.INI и устанавливает на него ссылку в файле MIRC.INI. При активизации скрипт-файл червя перехватывает работу с IRC-каналом и обрабатывает различные действия:
- при входе нового пользователя в канал или при передаче файлов червь посылает данному пользователю свою копию (файл C:\WINDOWS\LK7.EXE);
- при обнаружении в канале строки "leave!!!" червь отвечает от имени зараженного пользователя "Your will is my command" и покидает канал;
- при обнаружении строки "LUCKY !!" червь посылает в канал сообщение "I am a Lamer !!" и меняет nick пользователя на "Lamer";
- на текст "Die!!!" червь реагирует сообщением "Be sure, I will commit suicide now .. RIP" и выходит из "чата";
- на текст "virus" или "virii" червь сообщает в канал: "I am infected with [LK-7]..By LUCKY B.R.D 1994-99.Win32 VIRUS";
и т.п.
Червь также модифицирует ключи системного реестра, отвечающие за обработку различных событий клиента mIRC, и также использует их для передачи своей копии в IRC-каналы.
Для распространения себя через PIRCH червь создает новый скрипт-файл EVENTS.INI в каталоге PIRCH-клиента. Файл EVENTS.INI содержит команду, передающую файл червя C:\WINDOWS\LK7.EXE всем пользователям, подключающимся к зараженному каналу.
