HackTool.Perl.IrBot.d
Chi tiết kỹ thuật
Chương trình mã độc này là một tiện ích để hack máy tính. Nó là mt kịch
bản Perl. Kích thước của các file nhiễm độc có thể biến đổi trong khoảng t
12KB tới 69KB.
Hoạt động
Đoạn kịch bản này là một IRC bot được sử dụng để tìm kiếm các lỗ hổng RFI
(Remote File Inclusion). Tùy thuộc vào các câu lệnh được tải về, bot có thể:
1. Xóa sạch các file bản ghi (log)
2. Tìm kiếm các site với lỗ hổng RFI. Để tìm kiếm một site, bot dựa vào một
từ khóa. Nó sẽ sử dụng từ khóa với các dịch vụ tìm kiếm sau:
http://www.google.nl
http://busca.uol.com.br
http://www.alltheweb.com
http://it.ask.com
http://search.aol.com
http://suche.fireball.de
http://search.lycos.com
http://arianna.libero.it
http://search.yahoo.com
http://search.live.com
Nếu các site tìm kiếm có chứa cm từ "buterfly" và "uid=" trong địa chỉ,
chương trình mã độc sẽ tạo một request để redirect về địa chỉ link sau:
http://linknet*****.com/source/cmd.txt?
Nội dung ca file này sau đó sẽ chạy trên máy chủ web của site và giúp
người dùng nguy hiểm từ xa truy cập vào máy chủ.
Đoạn kịch bản này có chứa đoạn sau: Yogya Ceria Scaner Bot Created By
eviL-Zone -= evil =-
Hướng dn gỡ bỏ
Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật,
hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các
hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:
1. Xóa file chương trình mã độc gốc trên máy (vị trí file tùy thuộc vào cách
nó xâm nhập ban đầu vào máy tính nạn nhân).
2. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn b máy tính.