当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > IRC后门病毒技术分析及手动清除方法

杀毒防毒
善用清理专家帮你修复顽固病毒
如何通过端口来判断电脑感染何种木马
杀软avast 8月15日将掀起反盗版活动
小红伞杀毒软件V9全系列更新
F-Secure Internet Security 2010完完整的安装流程
电脑感染ghost.pif病毒杀毒软件无法启动
赛门铁克发布最新病毒公告
防治电脑病毒的有效方法
使用查找工具 揪出“QQ尾巴”
两款比较典型的ASP木马防范方法
教你在U盘上制作DOS杀毒盘
不再担心重要数据丢失 刻录盘病毒清除方法
另类:巧用U盘制作DOS杀毒盘
新人必备指南 电脑木马病毒完全查杀
网络安全基础:几个容易被误认为病毒的文件
从Melissa到Zotob:Windows蠕虫10年回放
MSN和雅虎通互联 专家称将导致病毒泛滥
杀毒软件诺顿AntiVirus最新技巧大放送
气疯安全工具—新兴DLL型木马复仇记
移花接木 将Alexa工具条改装成间谍木马

杀毒防毒 中的 IRC后门病毒技术分析及手动清除方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 48 ::
收藏到网摘: n/a

 

  2004年年初,IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失,瑞星公司客户服务部每天都会接到多家公司的求助电话。

  同时,由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难。本文先从技术角度介绍IRC后门病毒,然后介绍其手工清除方法。

  一、技术报告

  IRC病毒集黑客、蠕虫、后门功能于一体,通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典,用户如不设置密码或密码过于简单都会使系统易受病毒影响。

  病毒运行后将自己拷贝到系统目录下(Win 2K/NT/XP操作系统为系统盘的system32,win9x为系统盘的system),文件属性隐藏,名称不定,这里假设为xxx.exe,一般都没有图标。病毒同时写注册表启动项,项名不定,假设为yyy。病毒不同,写的启动项也不太一样,但肯定都包含这一项:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

  \Run\yyy : xxx.exe

  其他可能写的项有:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

  \Run\ yyy : xxx.exe

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

  \RunServices\ yyy : xxx.exe

  也有少数会写下面两项:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

  \RunOnce\yyy : xxx.exe

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

  \RunOnce\yyy : xxx.exe

  此外,一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。

  病毒每隔一定时间会自动尝试连接特定的IRC服务器频道,为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令,病毒就会在本地执行不同的操作,并将本地系统的返回信息发回聊天室,从而造成用户信息的泄漏。这种后门控制机制是比较新颖的,即时用户觉察到了损失,想要追查黑客也是非常困难。

  病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量网络带宽资源,容易造成局域网阻塞,国内不少企业用户的业务均因此遭受影响。

  出于保护被IRC病毒控制的计算机的目的,一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己,而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。

  二、手工清除方法

  所有的IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的启动项,并且项值只有文件名,不带路径,这给了我们提供了追查的线索。通过下面几步我们可以安全的清除掉IRC病毒。

  1、打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项,找出可疑文件的项目。

  2、打开任务管理器(按Alt+Ctrl+Del或在任务栏单击鼠标右键,选择“任务管理器”),找到并结束与注册表文件项相对应的进程。若进程不能结束,则可以切换到安全模式进行操作。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。

  3、接着打开“我的电脑”,在“工具”菜单下选择“文件夹选项”,选择“显示所有文件”,然后点击“确定”。再进入系统文件夹,找出可疑文件并将它转移或删除,到这一步病毒就算清除了。

  4、最后可手工把注册表里病毒的启动项清除,也可使用瑞星注册表修复工具清除。

  三、安全建议

  1.建立良好的安全习惯

  不要轻易打开一些来历不明的邮件及其附件,不要轻易登陆陌生的网站。从网上下载的文件要先查毒再运行。

  2.关闭或删除系统中不需要的服务

  默认情况下,操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对大多数用户没有用。删除它们,可以大大减少被攻击的可能性。

  3.经常升级安全补丁

  据统计,大部分网络病毒都是通过系统及IE安全漏洞进行传播的,如:冲击波、震荡波、SCO炸弹AC/AD等病毒。如果机器存在漏洞则很可能造成病毒反复感染,无法清除干净。因此一定要定期登陆微软升级网站(windowsupdate.microsoft.com)下载安装最新的安全补丁。同时也可以使用瑞星杀毒软件附带的“瑞星漏洞扫描”定期对系统进行检查。

  4.设置复杂的密码

  有许多网络病毒是通过猜测简单密码的方式对系统进行攻击。因此设置复杂的密码(大小写字母、数字、特殊符号混合,8位以上),将会大大提高计算机的安全系数,减少被病毒攻击