SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Nuevo virus troyano y gusano IROK.Trojan.Worm
Nombre de virus : HLLT.Irok.Trojan.Worm
Alias conocidos : Irok.10000, Irok.Trojan.Worm
Peligrosidad : Alta (Baja, Alta, Muy Alta)
Activación : Acción directa
Propagación : IRC y correo electrónico
Detección : VIRUSCAN Desde 4072
Motor necesario : Engine 4.0.25 o superior
Infección actual :
Media (Inicial, Media, Elevada)
HLLT.Irok es un virus/worm que se propaga a sí mismo vía IRC y Microsoft Outlook.
La primera vez que se ejecuta en el sistema realiza las siguientes acciones:
Infecta ficheros COM y EXE del directorio actual y del
PATH.
Evita infectar ficheros que contengan los caracteres win,dll,
span, man, drv, scr, krnl, 386, msc, com, exp, mou, gw, go, sta, use, gdi, o con. Borra
los ficheros anti-vir.dat, chklist.ms, chklist.cps, vs.vsn y ivn.ntz
El virus encripta los 10000 primeros bytes de los ficheros ejecutables que infecta, los cuales desplaza al final del archivo, ubicando en su lugar el código del virus. La fecha y hora del fichero se utiliza como clave de desencriptación, por lo que cualquier fichero infectado, si es modificado, no volverá a funcionar. Un bug del virus provoca que los programas que utilicen parámetros de línea de comandos no vuelvan a funcionar correctamente.
El gusano se copia a sí mismo a la ruta c:\Windows\system y a c:\Mirc, con el nombre IROK.EXE, y genera un WINRDE.DLL a la ruta \Windows\System. El worm también reemplaza el fichero SCRIPT.INI en c:\Mirc\ con su propio script, que se encarga de enviar IROK.EXE a cualquiera del canal IRC en el que participe la persona infectada. Finalmente, el worm genera un fichero script de Visual Basic, IROKRUN.VBS en el directorio de inicio de Windows, el cual se ejecutará la siguiente vez que se reinicie el sistema, y utilizará Outlook para enviar el gusano a 60 destinatarios presentes en la libreta de direciones de Outlook.
El mensaje que propaga el worm es el siguiente:
Asunto: I thought you migth like to see this.
Texto: I thought you might like this. I got it from
paramount pictures
website. It's a startrek screen saver.
Cuando lsos contadores internos del virus llegan a ciertos
valores, el virus visualiza un mensaje en pantalla, el cual acaba del siguiente modo:
...
People cry and people moan, look for a dry
place to call their own,
look for a dry place to rest the bones.
Thanks for reading the text above, I've
had enough time to remove
The contents of your hard disk for
you :- )
IroK v1.1 - RaiD/SLAM[2000]
Durante la visualización del texto
anterior, el virus se ha encargado de destruir los ficheros del disco duro.
SATINFO, VIRUSCAN SPAIN SERVICE
