«Лаборатория Касперского» предупреждает компьютерных пользователей о новом интернет-черве Firkin или «911»

Это целое семейство вирусов-червей, распространяющихся по локальной компьютерной сети. Появились они
в конце марта — начале апреля 2000. Также известны под именем «вирус 911» —
по причине своего проявления и шума, поднятого в информационных каналах.

Вирусы написаны на командном языке DOS и являются BAT-файлами. Используют только
команды DOS и некоторые внешние утилиты, однако этого хватает для
реализации методов распространения по локальной сети. Состоят из нескольких
компонент: червь является не одним файлом, а набором из нескольких BAT- и
PIF-файлов.

На зараженной машине червь записывает в стартовый каталог Windows («Start
MenuProgramsStartup») свой PIF-стартер, который активизирует основной
BAT-файл червя. В стартовый каталог Windows записывается также второй
PIF-файл, который вызывает утилиту, скрывающую DOS-окно программы-червя. В
результате червь продолжает работу в скрытом фоновом режиме.

Для своего распространения червь перебирает IP-адреса в достаточно широком
диапазоне и пытается установить контакт с компьютером по этому IP-адресу.
Если это удается, червь считывает список доступных (shared) ресурсов
(каталогов) на этом компьютере и определяет права доступа к ним. Если
какой-либо каталог удаленного компьютера открыт на запись, то червь ищет на
нем каталог Windows и устанавливает себя на этот диск, то есть заражает
его. При заражении червь создает собственный подкаталог в каталоге «Program
Files» на заражаемом диске и записывает свои PIF-стартеры в каталог
авто-запуска Windows (см. ниже).

Червь способен заразить удаленный компютер и в дальнейшем продолжать
заражение других компьютеров только в том случае, если Windows установлена
только в каталоге C:WINDOWS. В противном случае червь неспособен к
размножению.

Червь содержит крайне опасное проявление — в зависимости от своего
случайного счетчика форматирует диски компьютера или набирает при момощи
модема номер «911» (номер Службы Спасения США).

Известно несколько вариантов червя. Они отличаются лишь деталями:

Каталог, куда червь копирует свои компоненты:

«Firkin.a,b»: C:PROGRA~1FORESKIN (C:Program FilesFORESKIN»)
«Firkin.c»: C:PROGRA~1CHODE (C:Program FilesCHODE»)

Наиболее важные файлы червя:

«Firkin.a»:
A,B,C,D,E,F,G,H,I,J,ADD,FINAL,HIDE,SLAM — «.BAT»
ASHIELD.EXE, ASHIELD.PIF

MSTUM.BAT, MSTUM.PIF

«Firkin.b»:
A,B,C,D,E,F,G,H,I,J,ADD,ZULU,HIDE,SLAM

ASHIELD.EXE, ASHIELD.PIF

MSTUM.BAT, MSTUM.PIF

«Firkin.c»:
ADD, RANDOM

ASHIELD.EXE, ASHIELD.PIF

CHODE.BAT, NETSTAT.PIF

PIF-файлы также копируются в стартовый каталог Window.

Процедуры нейтрализации червя и защиты от него
добавлены в ежедневное обновление антивирусных баз «Антивируса Касперского»
(AVP).