IRC-Worm.Lucky

Jest to robak IRC rozprzestrzeniaj膮cy si臋 poprzez kana艂y IRC i u偶ywaj膮cy w tym celu klienta mIRC lub PIRCH. Robak obecny jest w komputerze jako 500 KB program Windows o nazwie LK7.EXE.

Gdy plik ten jest u偶ywany przez u偶ytkownika robak instaluje si臋 w systemie: kopiuje plik LK7.EXE do katalogu C:Windows. Nast臋pnie wyszukuje klient贸w mIRC, PIRCH w katalogach C:MIRC, C:MIRC32, C:PIRCH98 i modyfikuje ich skrypty IRC. Ponadto robak instaluje w systemie trojana "NetBus". Aby to zrobi膰, robal posiada w swoim ciele kod trojana. Wy艂uskuje go stamt膮d i kopiuje do katalogu C:Windows pod nazw膮 IRCPATCH.EXE, a nast臋pnie uruchamia go.

Wirus zawiera sygnatur臋 autora:

LUCKY B.R.D 1994-99 [LK-7]... 

Aby przenosi膰 si臋 poprzez kana艂 mIRC robak tworzy nowy plik skryptu LK7.INI i umiejscawia referencj臋 do niego w pliku mIRC'owego skryptu systemu - plik MIRC.INI. Skrypt robaka przechwytuje ustawienia zdarze艅 i u偶ywa ich do roznoszenia swoich kopii poprzez kana艂 oraz do manifestowania swojej obecno艣ci:

  • podczas kontaktu z nowym u偶ytkownikiem / rozm贸wc膮, lub podczas dokonywania transferu danych poprzez kana艂, robak wysy艂a swoj膮 kopi臋 (C:WINDOWSLK7.EXE)
  • je偶eli w kanale pojawi si臋 wyra偶enie "leave!!!", robak wysy艂a wiadomo艣膰 "Your will is my command" i opuszcza kana艂
  • na s艂owo "LUCKY!!!", robak wysy艂a poprzez kana艂 wiadomo艣膰 "I am a Lamer !!" i zmienia pseudonim swojego rozm贸wcy na "Lamer"
  • na s艂owo "Die!!!", robak wysy艂a wiadomo艣膰 "Be sure, i will commit siucide now ..RIP" i opuszcza stref臋 chatowania
  • na s艂owa "virus" i "virii", robak reaguje w ten spos贸b, 偶e wysy艂a wiadomo艣膰 "I am infected with [LK-7]..By LUCKY B.R.D 1994-99. Win 32 VIRUS"

Aby rozprzestrzenia膰 si臋 poprzez kana艂y mIRC robak modyfikuje r贸wnie偶 systemowy klucz rejestru, kt贸ry jest odpowiedzialny za zdarzenia mIRC.

Aby rozprzestrzenia膰 si臋 poprzez klienta PIRCH, robak tworzy nowy plik skryptu EVENTS.INI, kt贸ry zawiera komendy umo偶liwiaj膮ce wysy艂anie kopii wirusa do wszystkich u偶ytkownik贸w zainfekowanego kana艂u.