XTC - robak otrzymujący komendy przez kanały IRC.
-
- Krzysztof Arkuszewski,
- 17.02.2001
XTC jest robakiem internetowym, rozprzestrzeniającym się poprzez pocztę elektroniczną oraz sprawdzającym określoną grupę newsową w oczekiwaniu na umieszczone tam komendy modyfikujące jego działanie.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
<b>Temat:</b> AVX update notification
<b>Treść:</b><i>Hi,
We would like to notify you about the newest software designed by SOFTWIN company. This program constantly monitors the net for the newest viral treats and anti-virus databases. In the case some new virus is in-the-wild, it will immediatelly ask you to download the newest version of AntiVirus eXpert 2000 (AVX). It's small, it's efficent, it's secure and powerful. No special licence is needed, it's freeware. We hope you enjoy AntiVirus eXpert and share it with your friends.
Best regards,
AVX development team </i>
<b>Załącznik:</b> Services.exe
Po uruchomieniu przez użytkownika pliku załącznika, robak łączy się z serwerem eu.undernet.org pod losową nazwą użytkownika i wchodząc na kanał xtcdan wyszukuje w odnalezionych tam postach instrukcje działania.
Zobacz również:Google zmienia algorytmy - więcej reklam w Gmailu#
Możliwe komendy:
<b>update</b> - pobiera uaktualnienie poprzez FTP
<b>nopassword</b> - wyłącza działanie komend aż do otrzymania prawidłowego hasła
<b>password</b> - włącza działanie komend
<b>dos</b> - uruchamia atak typu denial of service w stosunku do podanych adresów
<b>stopdos</b> - wyłącza atak typu denial of service
<b>spreadon</b> - uruchamia rozsyłanie się pocztą elektroniczną
<b>spreadoff</b> - wyłącza rozsyłanie się pocztą elektroniczną
<b>reconnect</b> - ponownie uruchamia robaka
<b>exitprocess</b> - wyłącza robaka
<b>pwd</b> - wysyła ścieżkę do bieżącego katalogu na grupę
<b>cd</b> - zmienia bieżący katalog
<b>dir</b> - wysyła na grupę listę zawartości bieżącego katalogu
<b>md</b> - tworzy nowy katalog
<b>rd</b> - usuwa pusty katalog
<b>del</b> - usuwa pliki z bieżącego katalogu
<b>move</b> - przenosi plik
<b>info</b> - wysyła informacje o wersji robaka
<b>machine</b> - wysyła nazwę komputera
<b>dcc send</b> - odbiera pliki z kanału IRC-a
<b>sendme</b> - wysyła własną kopię na kanał IRC-a
<b>copy</b> - kopiuje określony plik na zainfekowany komputer
<b>leave</b> - usuwa się z systemu i restartuje komputer
<b>ircsend</b> - wysyła komendy IRC-a na grupę z zainfekowanego komputera
<b>exec</b> - uruchamia określony program
<b>lanspread</b> - kopiuje się jako internat.exe do katalogu autostartu oraz jako taskmgr.exe w katalogach głównych dysków od c: do z:
<b>reboot</b> - restartuje komputer
<b>spreadto</b> - wysyła swoją kopię pocztą elektroniczną na określony adres
<b>PING</b> - odpowiada tekstem PONG
