IRC-Worm.Win32. Hellfire.a

Червь, распространяющийся через IRC. Является приложением Windows (PE EXE-файл). Имеет размер 11264 байта. Упакован при помощи UPX, распакованный размер — около 50 КБ.

Инсталляция

При запуске вирус копирует свой исполняемый файл в следующий каталог:

  c:\mirc32\dirtysexsluts.scr

Деструктивная активность

Червь записывает в файл c:\mirc32\mirc.ini следующие строки:

   [rfiles]
  n100=safe.ini
  

Также создает файл, в который записывает свой скрипт:

  c:\mirc\safe.ini

Данный скрипт выполняет позволяет червю выполнять следующие действия на зараженном компьютере:

* В случае в канале появления в IRC-канале пользователя с ником «uncahellmang» червь сообщает ему следующую информацию о зараженном компьютере: IP-адрес, тип и версию ОС, текущую дату, время и адрес электронной почты из настроек mIRC.

* Всем входящим в канал пользователям червь посылает сообщение:

      http://hammer.prohosting.com/~nemo2k/freesex.html
      Visit this great NEW site now for 100% FREE Sex Pics And Movies.
      No Strings Attached

Вслед за сообщением посылает свою копию, используя сервис DCC:

        c:\mirc32\dirtysexsluts.scr

* Вирус открывает большое количество TCP-портов на компьютере пользователя и уведомляет участника канала «uncahellmang» о попытках установки соединения через открытые порты.

Другие названия

IRC-Worm.Win32.Hellfire.a («Лаборатория Касперского») также известен как: IRC-Worm.Hellfire.a («Лаборатория Касперского»), W32/Hellfire (McAfee), W32.Hellfire.Mirc (Symantec), Win32.IRC.Hellfire.32768 (Doctor Web), W32/Hellfire (Sophos), IRC/Hellfire (RAV), TROJ_HELLFIRE (Trend Micro), Worm/Hellfire.IRC.A (H+BEDV), Win95:HellFire (ALWIL), IRC-Worm/Hellfire (Grisoft), IRC-Worm.Hellfire.A (SOFTWIN), Worm.IRC.Hellfire.A (ClamAV), IRC/Hellfilre (Panda), IRC/Hellfire.A (Eset)