HackTool.Perl. IrBot.d

Хакерская утилита. Является сценарием языка Perl. Размер зараженных файлов варьируется от 12 до 69 КБ.

Деструктивная активность

Данный скрипт является IRC-ботом, использующимся для поиска RFI (Remote File Inclusion) уязвимостей.

В зависимости от получаемых команд бот может выполнять следующие действия:

* очищать логи;

* производить поиск RFI уязвимостей в сайтах. Для поиска сайта бот получает ключевое слово, по которому производится поиск в следующих поисковых службах:

      http://www.google.nl
      http://busca.uol.com.br
      http://www.alltheweb.com
      http://it.ask.com
      http://search.aol.com
      http://suche.fireball.de
      http://search.lycos.com
      http://arianna.libero.it
      http://search.yahoo.com
      http://search.live.com

Если были обнаружены сайты содержащие подстроки "buterfly" и "uid=" в адресе, то программа формирует запрос в котором передает адрес ссылку:

http://linknet*****.com/source/cmd.txt?

Содержимое данного файла выполнится на WEB-сервере сайта. Таким образом злоумышленник может получить удаленный доступ к серверу.

Также скрипт содержит следующую строку:

Yogya Ceria Scaner Bot Created By eviL-Zone -= evil =-