В списке рассылки TH-Research (The Trojan Horses Research Mailing List - список рассылки, посвящённый исследованию троянов) Joe Stewart предложил простой и эффективный способ удаления трояна Bagle, об эпидемии которого мы сообщали ранее. Как известно, троян вешается на порт 6777 и ожидает команд на этом порту.Чтобы не ожидать 28 января (когда троян сам деактивируется), Джо предложил администраторам метод удалённого уничтожения трояна. Заключается он в выдаче на заражённую машину определённой последовательности команд, которая автором представлена в 16-ричном виде. Используется Перл и NetCat (nc). Команда для удаления выглядит следующим образом:
perl -e 'print "x43xffxffxffx00x00x00x00x0412x00"' | nc infected_host_IP 6777.
Как видно, формируемая на Перле строка передаётся на порт 6777 инфицированного хоста. При этом троян деактивируется и удаляет собственный исполнимый файл в системе. Однако, как замечает автор, ключ реестра при этом не удаляется.
Источник - http://ecompute.org/th-list