|
Win32/Irok╚erv. èφ°φ se v p°φloze emailov²ch zprßv a prost°ednictvφm IRC kanßl∙ - v souboru IROK.EXE. Kupodivu se jednß o p∙vodnφ EXE soubor, kter² je spustiteln² i pod samotn²m DOSem (nejednß se o PE EXE). Pokud Vßm p°ijde emailovß zprßva se subjektem "I thought you might like to see this." a se souborem IROK.EXE v p°φloze, mßte tu Φest se s mutantem "Irokem" setkat osobn∞. Pokud dojde ke spuÜt∞nφ tΘto p°φlohy, Φerv se ubytuje v poΦφtaΦi. VypuÜt∞n² soubor IROKRUN.VBS se postarß o rozeslßnφ kopie souboru IROK.EXE dalÜim 60 lidem, kte°φ jsou uvedeni v "knize adres" aplikace MS Outlook. Ve stejnou chvilku zaΦne Irok infikovat i n∞kterΘ soubory na pevnΘm disku. V tomto p°φpad∞ jde o HLL nerezidentnφ virus, kter² napadß COM a EXE soubory, kterΘ vyhledßvß v adresß°φch, jen₧ jsou uvedeny v prom∞nnΘ PATH (nap°. v AUTOEXEC.BAT). P°i infekci souboru p°esune prvnφch 10 KB dat na konec a do vzniklΘho prostoru ulo₧φ svoje stejn∞ dlouhΘ t∞lo. Pro infekci je tak pou₧ita z°ejm∞ nejjednoduÜÜφ metoda - nenφ nutnΘ m∞nit ·daje v hlaviΦce u EXE. ╚erv Irok krom∞ toho ma₧e n∞kterΘ soubory, kterΘ antiviry vyu₧φvajφ pro testy typu: "kontrola integrity" a obΦas zobrazφ i n∞jakou tu zprßvu.
Zdroj: CHIP CD, VirovΘ novinky
|
|
