該病毒為後門類,病毒運行後衍生病毒檔案到系統目錄下,關閉當前任務管理器中所有可以關閉的進程,並接受控制者遠程控制。
基本介紹
簡介,病毒描述,行為分析,清除方案,
簡介
病毒名稱: Backdoor.Win32.IRCBot.aaq
感染系統: windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
病毒描述
該病毒為後門類,病毒運行後衍生病毒檔案到系統目錄下,關閉當前任務管理器中所有可以關閉的進程,把衍生的 DLL 檔案插入到系統正常進程 Explorer.exe 中,並通過 rdshost.dll 連線指定的 IRC 信道,並接受控制者遠程控制。修改註冊表,添加啟動項,以達到隨機啟動的目的。該病毒通過 MSN 傳播,會檢查用戶是否開啟 MSN ,如果開啟則自動向用戶 MSN 中的好友自動傳送訊息,並把病毒衍生的檔案 photo album.zip 做為附屬檔案傳送。
行為分析
1 、病毒運行後衍生病毒檔案到系統目錄下:
%WINDIR%\photo album.zip
%system32%\rdshost.dll
2 、關閉當前任務管理器中所有可以關閉的進程。
3 、把病毒衍生的檔案 rdshost.dll插入到系統正常進程Explorer.exe中,並通過rdshost.dll
連線指定的IRC信道,並接受控制者遠程控制。
4 、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad
鍵值:字串: " rdshost " = " {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} "
HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32
鍵值:字串: " @ " = " rdshost.dll "
註: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為可變字串。
5 、該病毒通過 MSN傳播,會檢查用戶是否開啟MSN,如果開啟則自動向用戶MSN中的好友自動傳送
訊息,並把病毒衍生的檔案photo album.zip做為附屬檔案傳送:
自動向 MSN好友傳送訊息:
QUOTE:
HEY lol i've done a new photo album !:) Second ill find file and send you
it.Hey wanna see my new photo album?Hey accept my photo album, Nice new pics of
me and my friends and stuff and when i was young lol...
Hey just finished new photo album! :) might be a few nudes ;) lol...
hey you got a photo album? anyways heres my new photo album :) accept k?hey man
accept my new photo album.. :( made it for yah, been doing picture story of my
life lol..
6 、控制者利用 IRC通信信道遠程控制中毒計算機:
連線的 IRC信道:darkjester
標準 IRC控制命令:
NICK [%s][%iH]%s\n
lol lol lol :shadowbot
USER %s\n
#test
JOIN %s\n
%s
PING :
PING :
PING :
PONG :%s\n
404JOIN %s\n
#test
JOIN %s\n
KICK
#test
JOIN %s\n
PRIVMSGNOTICE
NOTICE
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案:
%WINDIR%\photo album.zip
%system32%\rdshost.dll
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
刪除註冊表中所有的 rdshost.dll鍵值。