Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

IRC-Worm.Win32.Hellfire.a

Robak ten rozprzestrzenia się za pośrednictwem IRC. Ma postać pliku PE EXE o rozmiarze 11 264 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 50KB).

Instalacja

Po uruchomieniu robak kopiuje swój plik wykonywalny w następujący sposób:

c:mirc32dirtysexsluts.scr

Funkcje szkodnika

Robak zapisuje następujące ciągi:

[rfiles]
n100=safe.ini

do następującego pliku:

c:mirc32mirc.ini

Tworzy plik i zapisuje do niego jego skrypt:

c:mircsafe.ini

Skrypt ten wykonuje następujące działania:

Gdy użytkownik "uncahellmang" wejdzie na kanał, robak prześle użytkownikowi następujące informacje o zainfekowanym komputerze: adres IP, wersja i typ systemu operacyjnego, bieżąca data i czas systemowy oraz adres email (z konfiguracji mIRC).

Wszystkim użytkownikom wchodzącym na kanał IRC wysyłany jest następujący komunikat:

http://hammer.prohosting.com/~nemo2k/freesex.htmlVisit this great NEW site now for 100% 
FREE Sex Pics And Movies. No Strings Attached

Następnie robak wykorzystuje DCC, aby wysłać własną kopię:

c:mirc32dirtysexsluts.scr

Następnie robak otwiera dużą liczbę portów TCP na zaatakowanym komputerze i informuje "uncahellmang" o próbach połączenia się z tymi otwartymi portami.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesu robaka.
  2. Usuń oryginalny plik robaka (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujące pliki:
    c:mirc32dirtysexsluts.scr
    c:mircsafe.ini
    
  4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).
IRC-Worm.Hellfire.a (Kaspersky Lab), W32/Hellfire (McAfee),   W32.Hellfire.Mirc (Symantec),   Win32.IRC.Hellfire.32768 (Doctor Web),   W32/Hellfire (Sophos),   IRC/Hellfire (RAV),   TROJ_HELLFIRE (Trend Micro),   Worm/Hellfire.IRC.A (H+BEDV),   Win95:HellFire (ALWIL),   IRC-Worm/Hellfire (Grisoft),   IRC-Worm.Hellfire.A (SOFTWIN),   Worm.IRC.Hellfire.A (ClamAV),   IRC/Hellfilre (Panda),   IRC/Hellfire.A (Eset)