W95.Tenrobot – a lengyel vírus

A vírus tulajdonságai

Felfedezésének ideje: 2003. április 3.
Utolsó frissítés ideje: 2003. április 4.
Veszélyeztetett rendszerek: Windows 9x/Me
Nem érintett rendszerek: Windows 3.x/NT/2k/XP, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
Mérete: (körülbelül) 8.192 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– Windows NT/2k/XP alatt nem fejti ki ártó tevékenységét, ellenben ha Windows 9x/Me operációs rendszerben kerül futtatásra egy fertőzött állomány, létrehoz egy külön végrehajtási szálat
– felmásolja magát a megosztott memóriába
– monitorozza a file-rendszert
– létrehoz egy kapcsolatot egy IRC-szerverrel (irc.efnet.pl – 217.17.33.10) a 6667-es porton keresztül
– regisztrálja magát a szerveren egy véletlenszerűen létrehozott felhasználóneven és azonosítón (nick)
– amennyiben sikeresen létrejött a kapcsolat, csatlakozik a #NetRobot csatornához, ahol további parancsokra várakozik

A vírus trójai tulajdonságai által kínált lehetőségek

A következő parancsok hajthatók végre IRC-n keresztül a vírus trójai képességeinek révén: JOIN, KICK, PING, PRIVMSG (ezzel tud speciális műveleteket végrehajtani a támadó a helyi file-rendszerben). Emellett képes kiszedni magát a memóriából és le tudja állítani működését, ha a támadó úgy akarja. Ezen felül még file-ok letöltésére (a 80-as HTTP porton keresztül) és futtatására is képes.