IBLIS.A ловит в свои сети любителей «клубнички»

PIF_IBLIS.A — интернет-червь, распространяющийся по IRC-каналам (Internet Relay Chat) с помощью клиента mIRC, установленного на зараженной машине. Червь маскируется под текстовый файл, содержащий пароль для доступа на порнографический сайт.

Червь прибывает на компьютер в виде PIF-файла или ярлыка (shortcut) к программам MS-DOS или Windows. Если на зараженном компьютере стоит установка в системе скрывать расширения файлов, то вирус выглядит как текстовый файл, содержащий пароль доступа на некий порно-сайт.

После выполнения червь «скидывает» свою копию в корневую директорию Windows под именем WINSTART.BAT. Затем при рестарте системы этот файл также выполняется и в свою очередь записывает еще одну копию червя в виде файла C0MMAND.COM в корень C:. Имя этого файла отличается от оригинального C:COMMAND.COM тем, что в нем вместо букв «О» записаны нули «0».

Файл WINSTART.BAT запускаясь выполняет внедренный в него код червя, который берет контроль над mIRC. Червь перехватывает некоторые функции mIRC, такие как набивание текста и отсылка в чат файлов следующих типов: .EXE, .COM, .BAT, .INI, .VBS, .ZIP, .JPG, .TXT, .HTML. Используя эти функции червь обманным путем отсылает свои сообщения, содержащие копии вируса в виде присоединенного файла с именем X_PASS.TXT.PIF всем, с кем общается пользователь зараженной машины по IRC-каналу. Сообщение червя имеет следующее содержание:

Please if you want my Special IBLIS SEX Pass List J TYPE !SEXPASS.»

Вирусный код содержит в себе следующие строки-комментарии:

IBLIS WORM _designed by DelArmg0 on 30/01/2000

__GreetZ to U IBLIS !

My Dear KaT J An Alive P03m…