Поведение
HackTool, хакерская утилита.
Технические детали
Хакерская утилита. Является сценарием языка Perl. Размер зараженных файлов варьируется от 12 до 69 КБ.
Деструктивная активность
Данный скрипт является IRC-ботом, использующимся для поиска RFI (Remote File Inclusion) уязвимостей.
В зависимости от получаемых команд бот может выполнять следующие действия:
- очищать логи;
- производить поиск RFI уязвимостей в сайтах. Для поиска сайта бот получает ключевое слово, по которому производится поиск в следующих поисковых службах:
http://www.google.nl
http://busca.uol.com.br
http://www.alltheweb.com
http://it.ask.com
http://search.aol.com
http://suche.fireball.de
http://search.lycos.com
http://arianna.libero.it
http://search.yahoo.com
http://search.live.com
Если были обнаружены сайты содержащие подстроки "buterfly" и "uid=" в адресе, то программа формирует запрос в котором передает адрес ссылку:
http://linknet*****.com/source/cmd.txt?
Содержимое данного файла выполнится на WEB-сервере сайта. Таким образом злоумышленник может получить удаленный доступ к серверу.
Также скрипт содержит следующую строку:
Yogya Ceria Scaner Bot Created By eviL-Zone -= evil =-
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл вредоносной программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
