Ngày phát hiện: 05 – 10 – 2007
Hiểm họa: Hacker Tool
Chi tiết kỹ thuật
Chương trình mã độc này là một tiện ích để hack máy tính. Nó là một kịch bản Perl. Kích thước của các file nhiễm độc có thể biến đổi trong khoảng từ 12KB tới 69KB.
Hoạt động
Đoạn kịch bản này là một IRC bot được sử dụng để tìm kiếm các lỗ hổng RFI (Remote File Inclusion). Tùy thuộc vào các câu lệnh được tải về, bot có thể:
1. Xóa sạch các file bản ghi (log)
2. Tìm kiếm các site với lỗ hổng RFI. Để tìm kiếm một site, bot dựa vào một từ khóa. Nó sẽ sử dụng từ khóa với các dịch vụ tìm kiếm sau:
http://www.google.nl
http://busca.uol.com.br
http://www.alltheweb.com
http://it.ask.com
http://search.aol.com
http://suche.fireball.de
http://search.lycos.com
http://arianna.libero.it
http://search.yahoo.com
http://search.live.com
Nếu các site tìm kiếm có chứa cụm từ "buterfly" và "uid=" trong địa chỉ, chương trình mã độc sẽ tạo một request để redirect về địa chỉ link sau:
http://linknet*****.com/source/cmd.txt?
Nội dung của file này sau đó sẽ chạy trên máy chủ web của site và giúp người dùng nguy hiểm từ xa truy cập vào máy chủ.
Đoạn kịch bản này có chứa đoạn sau: Yogya Ceria Scaner Bot Created By eviL-Zone -= evil =-
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:
1. Xóa file chương trình mã độc gốc trên máy (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân).
2. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.