Неопасный нерезидентный зашифрованный вирус-червь. Распространяется по chat-каналам mIRC и PIRCH. При заражении системы создает в каталоге C:\WINDOWS зараженный файл-дроппер MYPIC.COM и устанавливает у него атрибуты "скрытый" и "только-на-чтение". Затем червь атакует программы-клиенты mIRC и PIRCH.
При атаке на PIRCH червь перезаписывает скрипт-файл EVENTS.INI в каталоге \PIRCH98. Новый EVENTS.INI пересылает файл C:\WINDOWS\MYPIC.COM при заходе пользователя в IRC-канал. В том случае, если клиент PIRCH не найден, вирус атакует mIRC-клиента: ищет и перезаписывает файл SCRIPT.INI в каталоге \MIRC. Новый SCRIPT.INI содержит макросы, которые вызываются при выполнении пользователем определенных действий. Кроме того, в скрипте определены также расширенные команды CTCP, которые могут вызываться пользователем с удаленного компьютера. Список макросов, для которых вирус переопределяет свои обработчики:
- при соединении с сервером IRC посылает пользователю с именем "TPhunk" на этом же сервере сообщение:
I am alive
- при входе в канал любого участника разговора ему пересылается файл-дроппер вируса (файл C:\WINDOWS\MYPIC.COM).
- при появлении от какого-либо собеседника фразы, содержащей "why me", вирус запускает таймер mIRC, выполняющего атаку по протоколу CTCP на пользователя, произнесшего эту фразу.
- при получении CTCP-команды "blah" происходит выход из IRC с сообщением
I am Owned - TP ownes me
- при получении CTCP-команды "bye" происходит запуск таймера mIRC, который с периодичностью раз в секунду выполняет файл COMMAND.COM.
- при получении CTCP-команды "give" вирус передает этому пользователю файл MIRC.INI из каталога C:\MIRC.
- при получении CTCP-команды "unf" выполняет на компьютере запуск файла, указанного в параметрах команды.
- при получении CTCP-команды "ya" посылает сообщение пользователю. И пользователь и сообщение указываются в параметрах команды.
- при получении CTCP-команды "own" заменяет заголовок окна на:
You've been hax0red
- при появлении от какого-либо собеседника фразы, содержащей тект "mypic" - запуск таймера mIRC, стартующего через 30 сек. после команды и выполняющего атаку по протоколу CTCP на этого собеседника.
- при получении CTCP-команды "giveme" - посылка подавшему команду файла, имя которого определено в параметре команды. Таким образом, червь в состоянии "воровать" файлы с удаленного компьютера.