W32.IRCBot.H is là một chương trình Trojan có chức năng mở cổng sau trên máy tính nạn nhân bằng cách kết nối với một máy chủ IRC và nhận lệnh điều khiển từ kẻ tấn công từ xa.

Hệ điều hành lây nhiễm: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Mô tả

Khi thực thi, W32.IRCBot.H sẽ tiến hành các tác vụ sau:

1. Nhân bản vào thư mục hệ thống:
   %System%ssvchost.exe.

2. Thêm giá trị:
   "window2" = "ssvchost.exe"
   ... vào các khoá registry sau để sâu có thể tự động chạy khi hệ thống khởi động:
   
   HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
   CurrentVersionRun
   HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
   CurrentVersionRunServices
   HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
   CurrentVersionRunOnce
   HKEY_CURRENT_USERSoftwareMicrosoftWindows
   CurrentVersionRunOnce
   HKEY_CURRENT_USERSoftwareMicrosoftWindows
   CurrentVersionRun
   so that it is executed every time Windows starts.

3. Tạo ra giá trị registry sau:
   
   HKEY_LOCAL_MACHINESystemCurrentControlSet
   ServicesMedia Player

4. Xoá các thư mục chia sẻ trên ổ cục bộ:
    

   • c$

   • d$

   • IPC$

   • admin$

5. Mở cổng sau bằng cách kết nối tới một máy chủ IRC irc.xerologic.net. Trojan được cài trên máy tính nạn nhân sẽ lắng nghe lệnh điều khiển từ xa của kẻ tấn công để thực hiện các tác vụ sau:
    

   • Quản lý trình cài đặt cổng sau.

   • Sử dụng DCC để truyền cổng sau.

   • Tải và thực thi các file nhị phân.

   • Thực hiện tấn công DoS vào các website.

   • Gửi thông tin cá nhân.

   • Xoá trái phép các tiến trình nhị phân.

   • Mở các website.

   • Khởi động dịch vụ proxy.

   • Tự nhân bản vào các thư mục chia sẻ trên máy tính khác.

6. Đánh cắp khoá cài đặt của các game sau:
    

   • Battlefield 1942

   • Battlefield 1942: Secret Weapons Of WWII

   • Battlefield 1942: The Road To Rome

   • Battlefield 1942: Vietnam

   • Black and White

   • Command and Conquer: Generals

   • Command and Conquer: Generals: Zero Hour

   • Command and Conquer: Red Alert2

   • Command and Conquer: Tiberian Sun

   • Counter-Strike

   • FIFA 2002

   • FIFA 2003

   • Freedom Force

   • Global Operations

   • Gunman Chronicles

   • Half-Life

   • Hidden and Dangerous 2

   • IGI2: Covert Strike

   • Industry Giant 2

   • James Bond 007: Nightfire

   • Medal of Honor: Allied Assault

   • Medal of Honor: Allied Assault: Breakthrough

   • Medal of Honor: Allied Assault: Spearhead

   • Nascar Racing 2002

   • Nascar Racing 2003

   • NHL 2002

   • NHL 2003

   • Need For Speed: Hot Pursuit 2

   • Need For Speed: Underground

   • Neverwinter Nights

   • Ravenshield

   • Shogun: Total War: Warlord Edition

   • Soldiers Of Anarchy

   • Soldier Of Fortune 2

   • The Gladiators

   • Unreal Tournament 2003

   • Unreal Tournament 2004

   • Soldier of Fortune II - Double Helix

Sau đây là một số khuyến nghị và hướng dẫn diệt trừ cho virus W32.IRCBot.H của hãng bảo mật Symantec:

Khuyến nghị:

• Tắt và loại bỏ các dịch vụ không cần thiết trên hệ thống. Theo mặc định, rất nhiều hệ điều hành cài đặt những dịch vụ không cần thiết, chẳng hạn như máy chủ FTP, telnet, và máy chủ Web. Những dịch vụ này đã từ lâu bộc lộ nhiều điểm yếu để hacker lợi dụng tấn công vào máy tính. 

• Luôn cập nhật các bản patch mới nhất, đặc biệt đối với các máy tính chứa nhiều dịch vụ công cộng và có thể truy cập thông qua tường lửa, như dịch vụ: HTTP, FTP, mail, và DNS.

• Thắt chặt chính sách mật khẩu. Sử dụng mật khẩu phức tạp sẽ gây khó khăn cho các chương trình bẻ mật khẩu trên máy tính. Việc làm này cũng sẻ giảm bớt thiệt hại khi máy tính bị xâm hại. 

• Cấu hình máy chủ e-mail để khoá hoặc loại bỏ các e-mail chứa file đình kèm thường bị virus lợi dụng để phát tán như: .vbs, .bat, .exe, .pif và .scr.

• Cô lập máy tính bị lây nhiễm để ngăn chặn mức độ lây lan của virus trong tổ chức của bạn. Tiến hành thẩm định hệ thống và sao lưu dữ liệu.

• Thông báo cho nhân viên không được mở các file đính kèm theo e-mail trừ khi chúng có nguồn gốc an toàn và có thể thẩm định được. Ngoài ra, không thực thi phần mềm tải từ mạng Internet trừ khi nó đã được phần mềm chống virus kiểm tra mức độ an toàn. Các trình duyệt giờ đây đã không còn an toàn và đôi khi chỉ cần một tác vụ truy cập web bình thường cũng khiến máy tính của bạn nhiễm virus.
   

Hướng dẫn loại bỏ virus (Symantec)

1. Vô hiệu hoá chức năng System Restore (Windows Me/XP).

2. Tải bản nâng cấp mới nhất cho phần mềm diệt virus

3. Khởi động máy tính ở chế độ Safe Mode

4. Chạy phần mềm diệt virus ở chế độ Full System (quét toàn hệ thống) và sửa chữa file virus W32.IRCBot.H.

5. Xoá các giá trị liên quan tới Trojan được bổ sung vào regisrty.