Червь, распространяющийся через IRC. Является приложением Windows (PE EXE-файл).
Инсталляция
При запуске вирус копирует свой исполняемый файл в следующий каталог:
c:\mirc32\dirtysexsluts.scr
Деструктивная активность
Червь записывает в файл c:\mirc32\mirc.ini следующие строки:
[rfiles] n100=safe.ini
Также создает файл, в который записывает свой скрипт:
c:\mirc\safe.ini
Данный скрипт выполняет позволяет червю выполнять следующие действия на зараженном компьютере:
* В случае в канале появления в IRC-канале пользователя с ником «uncahellmang» червь сообщает ему следующую информацию о зараженном компьютере: IP-адрес, тип и версию ОС, текущую дату, время и адрес электронной почты из настроек mIRC.
* Всем входящим в канал пользователям червь посылает сообщение:
http://hammer.prohosting.com/~nemo2k/freesex.html
Visit this great NEW site now for 100% FREE Sex Pics And Movies.
No Strings Attached
Вслед за сообщением посылает свою копию, используя сервис DCC:
c:\mirc32\dirtysexsluts.scr
* Вирус открывает большое количество TCP-портов на компьютере пользователя и уведомляет участника канала «uncahellmang» о попытках установки соединения через открытые порты.
Другие названия
IRC-Worm.Win32.Hellfire.a («Лаборатория Касперского») также известен как: IRC-Worm.Hellfire.a («Лаборатория Касперского»), W32/Hellfire (McAfee), W32.Hellfire.Mirc (Symantec), Win32.IRC.Hellfire.32768 (Doctor Web), W32/Hellfire (Sophos), IRC/Hellfire (RAV), TROJ_HELLFIRE (Trend Micro), Worm/Hellfire.IRC.A (H+BEDV), Win95:HellFire (ALWIL), IRC-Worm/Hellfire (Grisoft), IRC-Worm.Hellfire.A (SOFTWIN), Worm.IRC.Hellfire.A (ClamAV), IRC/Hellfilre (Panda), IRC/Hellfire.A (Eset)