Backdoor.win32.ircbot.com

該病毒屬後門類,病毒運行後複製自身到%system32%\dllcache\下,並刪除自身,修改註冊表,創建服務,以達到隨機啟動的目的,關掉系統自動更新程式,使用用戶不能自動更新系統補丁,連線網路,更新tcpip.sys檔案,使用戶配置與系統版本不附。該病毒利用IRC通信信道遠程控制用戶,嘗試弱口令。

基本介紹

  • 中文名:Backdoor.win32 ircbot com
  • 病毒類型後門
  • 公開範圍:完全公開
  • 危害等級:5
  • 檔案長度:199,680位元組
  • 檔案 MD5:FC07D2714CED675C461506A6F16F0F50
  • 感染系統: windows98以上版本
  • 加殼類型:未知殼
  • 命名對照:驅逐艦 [無]
  • BitDefende:[無]
行為分析,清除方案,

行為分析

1、病毒運行後複製自身到%system32%\dllcache\下,並刪除自身:
%system32%\dllcache\msiupdate32.exe
2、修改註冊表,創建服務,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
新建鍵值: 字串: "EnableDCOM "="N"
原鍵值: 字串: "EnableDCOM "="Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft update Service\
鍵值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
鍵值: 字串:"C:\WINDOWS\system32\dllcache\msiupdate32.exe " ="C:\WINDOWS
\system32\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft update Service\
鍵值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\
鍵值: 字串:"C:\WINDOWS\system32\dllcache\msiupdate32.exe "="C:\WINDOWS\system32
\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
3、關掉系統自動更新程式,使用用戶不能自動更新系統補丁
4、連線網路,更新tcpip.sys檔案,使用戶配置與系統版本不附。
IP:206.83.210.218
5、該病毒利用IRC通信信道遠程控制用戶:
6、嘗試弱口令:
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線進程管理”關閉病毒進程
(2) 刪除病毒檔案
%system32%\dllcache\msiupdate32.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
新建鍵值: 字串: "EnableDCOM "="N"
原鍵值:: 字串: "EnableDCOM "="Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft update Service\
鍵值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache
\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\Authorized
Applications\List\
鍵值: 字串:"C:\WINDOWS\system32\dllcache\msiupdate32.exe"
="C:\WINDOWS\system32\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft update Service\
鍵值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache
\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\Authorized
Applications\List\
鍵值: 字串:"C:\WINDOWS\system32\dllcache\msiupdate32.exe
"="C:\WINDOWS\system32\dllcache\msiupdate32.exe:*:
Enabled:Microsoft update Service"

相關詞條

熱門詞條

聯絡我們