2004年年初,IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失。
同时,由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难。本文先从技术角度介绍IRC后门病毒,然后介绍其手工清除方法。
一、技术报告
IRC病毒集黑客、蠕虫、后门功能于一体,通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典,用户如不设置密码或密码过于简单都会使系统易受病毒影响。
病毒运行后将自己拷贝到系统目录下(Win 2K/NT/XP操作系统为系统盘的system32,win9x为系统盘的system),文件属性隐藏,名称不定,这里假设为xxx.exe,一般都没有图标。病毒同时写注册表启动项,项名不定,假设为yyy。病毒不同,写的启动项也不太一样,但肯定都包含这一项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\yyy : xxx.exe
其他可能写的项有:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\ yyy : xxx.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\ yyy : xxx.exe
也有少数会写下面两项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy : xxx.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy : xxx.exe
此外,一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。
病毒每隔一定时间会自动尝试连接特定的IRC服务器频道,为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令,病毒就会在本地执行不同的操作,并将本地系统的返回信息发回聊天室,从而造成用户信息的泄漏。这种后门控制机制是比较新颖的,即时用户觉察到了损失,想要追查黑客也是非常困难。
病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量网络带宽资源,容易造成局域网阻塞,国内不少企业用户的业务均因此遭受影响。
出于保护被IRC病毒控制的计算机的目的,一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己,而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。
二、手工清除方法
所有的IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的启动项,并且项值只有文件名,不带路径,这给了我们提供了追查的线索。通过下面几步我们可以安全的清除掉IRC病毒。
1、打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项,找出可疑文件的项目。
2、打开任务管理器(按Alt+Ctrl+Del或在任务栏单击鼠标右键,选择“任务管理器”),找到并结束与注册表文件项相对应的进程。若进程不能结束,则可以切换到安全模式进行操作。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。