HackTool.Perl.IrBot.d

Hoạt động

Đoạn kịch bản này là một IRC bot được sử dụng để tìm kiếm các lỗ hổng RFI (Remote File Inclusion). Tùy thuộc vào các câu lệnh được tải về, bot có thể:

1. Xóa sạch các file bản ghi (log)

2. Tìm kiếm các site với lỗ hổng RFI. Để tìm kiếm một site, bot dựa vào một từ khóa. Nó sẽ sử dụng từ khóa với các dịch vụ tìm kiếm sau:

http://www.google.nl
http://busca.uol.com.br
http://www.alltheweb.com
http://it.ask.com
http://search.aol.com
http://suche.fireball.de
http://search.lycos.com
http://arianna.libero.it
http://search.yahoo.com
http://search.live.com

Nếu các site tìm kiếm có chứa cụm từ "buterfly" và "uid=" trong địa chỉ, chương trình mã độc sẽ tạo một request để redirect về địa chỉ link sau:

http://linknet*****.com/source/cmd.txt?

Nội dung của file này sau đó sẽ chạy trên máy chủ web của site và giúp người dùng nguy hiểm từ xa truy cập vào máy chủ.

Đoạn kịch bản này có chứa đoạn sau: Yogya Ceria Scaner Bot Created By eviL-Zone -= evil =-

Hướng dẫn gỡ bỏ

Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:

1. Xóa file chương trình mã độc gốc trên máy (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân).

2. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.