Backdoor.IRC.Yoink

更新： 2007 年 2 月 13 日 11:43:44 AM

別名： IRC-Yoink [McAfee]

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Backdoor.IRC.Yoink是會允許駭客使用 IRC 來遠端控制您計算機的後門特洛伊木馬。 檔案 Sysclean.exe 的存在是可能被感染的徵兆。

* 病毒定義（每周 LiveUpdate™） 2003 年 2 月 24 日

* 病毒定義（智慧型更新程式） 2003 年 2 月 24 日

威脅評估

* 廣度級別： Low

* 感染數量： 0 - 49

* 站點數量： 0 - 2

* 地理位置分布： Low

* 威脅抑制： Easy

* 清除： Easy

* 損壞級別： Medium

* 危及安全設定： Allows unauthorized access to the infected computer.

* 分發級別： Low

* 連線埠： 6667

發現： 2003 年 2 月 21 日

更新： 2007 年 2 月 13 日 11:43:44 AM

別名： IRC-Yoink [McAfee]

類型: Trojan Horse

感染長度： 330,615 bytes

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Backdoor.IRC.Yoink 特洛伊木馬程式可以被通過多種手段傳播，包括 email 和 IRC 檔案的形式。Backdoor.IRC.Yoink 通常以 Sysclean.exe 檔案的形式出現。

如果 Backdoor.IRC.Yoink 被執行,它將會：

1. 連上 IRC 伺服器 marley.mine.nu 的 6,667埠。

2. 加入 IRC 頻道， #des-clan，並通知它的出現。

Backdoor.IRC.Yoink 允許攻擊者進行下列活動：

* 在您的計算機上開一個 FTP 伺服器並上傳或下載檔案。

* 打開 UDP/SYN 對指定的 IP 埠位址進行

* 對特定的電子郵件地址進行泛濫郵件攻擊。

在 Backdoor.IRC.Yoink 中找到的字元串含有：steve_waugh

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

這些指示適用於目前市面上所見的最新賽門鐵克防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 產品系列。

1. 更新病毒定義。

2. 執行以下步驟之一：

* Windows 95/98/Me: 將計算機重新啟動到安全模式。

* Windows NT/2000/XP: 結束特洛伊木馬程式。

3. 執行完整的系統掃描，刪除所有偵測到的 Backdoor.IRC.Yoink 檔案。

如需關於這些步驟的詳細信息，請閱讀下列指示。

1. 更新病毒定義

Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。 可以通過兩種方式獲得最新的病毒定義：

* 運行 LiveUpdate，這是獲得病毒定義最簡便的方法。如果未出現重大的病毒爆發情況，這些病毒定義會在 LiveUpdate 伺服器上每周發布一次（一般為星期三）。 要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義，請見本說明頂部“防護”部分的病毒定義 (LiveUpdate) 部分。

* 使用“智慧型更新程式”下載病毒定義。 “智慧型更新程式”病毒定義會在美國工作日（周一至周五）發布。 您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。 要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義，請見本說明頂部的病毒定義（智慧型更新程式）部分。

智慧型更新程式病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝智慧型更新程式病毒定義，請單擊這裡。

2. 以安全模式重新啟動計算機或終止特洛伊木馬進程

對於 Windows 95/98/Me

以安全模式重新啟動計算機。 除 Windows NT 外，所有的 Windows 32 位作業系統均可以安全模式重新啟動。 有關如何完成此操作的指導，請參閱文檔：如何以安全模式啟動計算機。

Windows NT/2000/XP

要終止特洛伊木馬進程，請執行下列操作：

1. 按一次 Ctrl+Alt+Del。

2. 單擊“任務管理器”。

3. 單擊“進程”選項卡。

4. d. 雙擊“映像名稱”列標題，按字母順序對進程排序。

5. 滾動列表並查找 Sysclean.exe。

6. 如果找到該檔案，則單擊此檔案，然後單擊“結束進程”。

7. 單擊“任務管理器”。

3. 掃描和刪除受感染檔案

1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。

* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

2. 運行完整的系統掃描。

3. 如果有任何檔案被檢測為感染了Backdoor.IRC.Yoink，請單擊“刪除”。

Atli Gudmundsson