IRC-Worm.Win32.Hellfire.a

Robak ten rozprzestrzenia si臋 za po艣rednictwem IRC. Ma posta膰 pliku PE EXE o rozmiarze 11 264 bajt贸w (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 50KB).

Instalacja

Po uruchomieniu robak kopiuje sw贸j plik wykonywalny w nast臋puj膮cy spos贸b:

c:mirc32dirtysexsluts.scr

Funkcje szkodnika

Robak zapisuje nast臋puj膮ce ci膮gi:

[rfiles]
n100=safe.ini

do nast臋puj膮cego pliku:

c:mirc32mirc.ini

Tworzy plik i zapisuje do niego jego skrypt:

c:mircsafe.ini

Skrypt ten wykonuje nast臋puj膮ce dzia艂ania:

Gdy u偶ytkownik "uncahellmang" wejdzie na kana艂, robak prze艣le u偶ytkownikowi nast臋puj膮ce informacje o zainfekowanym komputerze: adres IP, wersja i typ systemu operacyjnego, bie偶膮ca data i czas systemowy oraz adres email (z konfiguracji mIRC).

Wszystkim u偶ytkownikom wchodz膮cym na kana艂 IRC wysy艂any jest nast臋puj膮cy komunikat:

http://hammer.prohosting.com/~nemo2k/freesex.htmlVisit this great NEW site now for 100% 
FREE Sex Pics And Movies. No Strings Attached

Nast臋pnie robak wykorzystuje DCC, aby wys艂a膰 w艂asn膮 kopi臋:

c:mirc32dirtysexsluts.scr

Nast臋pnie robak otwiera du偶膮 liczb臋 port贸w TCP na zaatakowanym komputerze i informuje "uncahellmang" o pr贸bach po艂膮czenia si臋 z tymi otwartymi portami.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu robaka.
  2. Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮ce pliki:
    c:mirc32dirtysexsluts.scr
    c:mircsafe.ini
    
  4. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).
IRC-Worm.Hellfire.a (Kaspersky Lab), W32/Hellfire (McAfee),   W32.Hellfire.Mirc (Symantec),   Win32.IRC.Hellfire.32768 (Doctor Web),   W32/Hellfire (Sophos),   IRC/Hellfire (RAV),   TROJ_HELLFIRE (Trend Micro),   Worm/Hellfire.IRC.A (H+BEDV),   Win95:HellFire (ALWIL),   IRC-Worm/Hellfire (Grisoft),   IRC-Worm.Hellfire.A (SOFTWIN),   Worm.IRC.Hellfire.A (ClamAV),   IRC/Hellfilre (Panda),   IRC/Hellfire.A (Eset)