IRC-Worm.Win32.Hellfire.a
Po uruchomieniu robak kopiuje sw贸j plik wykonywalny w nast臋puj膮cy spos贸b:
c:mirc32dirtysexsluts.scr
Robak zapisuje nast臋puj膮ce ci膮gi:
[rfiles] n100=safe.ini
do nast臋puj膮cego pliku:
c:mirc32mirc.ini
Tworzy plik i zapisuje do niego jego skrypt:
c:mircsafe.ini
Skrypt ten wykonuje nast臋puj膮ce dzia艂ania:
Gdy u偶ytkownik "uncahellmang" wejdzie na kana艂, robak prze艣le u偶ytkownikowi nast臋puj膮ce informacje o zainfekowanym komputerze: adres IP, wersja i typ systemu operacyjnego, bie偶膮ca data i czas systemowy oraz adres email (z konfiguracji mIRC).
Wszystkim u偶ytkownikom wchodz膮cym na kana艂 IRC wysy艂any jest nast臋puj膮cy komunikat:
http://hammer.prohosting.com/~nemo2k/freesex.htmlVisit this great NEW site now for 100% FREE Sex Pics And Movies. No Strings Attached
Nast臋pnie robak wykorzystuje DCC, aby wys艂a膰 w艂asn膮 kopi臋:
c:mirc32dirtysexsluts.scr
Nast臋pnie robak otwiera du偶膮 liczb臋 port贸w TCP na zaatakowanym komputerze i informuje "uncahellmang" o pr贸bach po艂膮czenia si臋 z tymi otwartymi portami.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu robaka.
- Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮ce pliki:
c:mirc32dirtysexsluts.scr c:mircsafe.ini
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).