Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory IRC-Worm.Win32.Hellfire.aRobak ten rozprzestrzenia się za pośrednictwem IRC. Ma postać pliku PE EXE o rozmiarze 11 264 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 50KB).
Po uruchomieniu robak kopiuje swój plik wykonywalny w następujący sposób: c:mirc32dirtysexsluts.scr Robak zapisuje następujące ciągi: [rfiles] n100=safe.ini do następującego pliku: c:mirc32mirc.ini Tworzy plik i zapisuje do niego jego skrypt: c:mircsafe.ini Skrypt ten wykonuje następujące działania: Gdy użytkownik "uncahellmang" wejdzie na kanał, robak prześle użytkownikowi następujące informacje o zainfekowanym komputerze: adres IP, wersja i typ systemu operacyjnego, bieżąca data i czas systemowy oraz adres email (z konfiguracji mIRC). Wszystkim użytkownikom wchodzącym na kanał IRC wysyłany jest następujący komunikat: http://hammer.prohosting.com/~nemo2k/freesex.htmlVisit this great NEW site now for 100% FREE Sex Pics And Movies. No Strings Attached Następnie robak wykorzystuje DCC, aby wysłać własną kopię: c:mirc32dirtysexsluts.scr Następnie robak otwiera dużą liczbę portów TCP na zaatakowanym komputerze i informuje "uncahellmang" o próbach połączenia się z tymi otwartymi portami. Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:
|