基本信息
病毒名稱: Backdoor.win32 ircbot com病毒類型: 後門
檔案 MD5: FC07D2714CED675C461506A6F16F0F50
公開範圍: 完全公開
危害等級: 5
檔案長度: 199,680 位元組
感染系統: windows98以上版本
加殼類型: 未知殼
命名對照: 驅逐艦 [無]
BitDefender [無]
病毒描述
該病毒屬後門類,病毒運行後複製自身到%system32%\dllcache\下,並刪除自身,修改註冊表,創建服務,以達到隨機啟動的目的,關掉系統自動更新程式,使用用戶不能自動更新系統補丁,連線網路,更新tcpip.sys檔案,使用戶配置與系統版本不附。該病毒利用IRC通信信道遠程控制用戶,嘗試弱口令。行為分析
1、病毒運行後複製自身到%system32%\dllcache\下,並刪除自身:%system32%\dllcache\msiupdate32.exe
2、修改註冊表,創建服務,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
新建鍵值: 字串: "EnableDCOM "="N"
原鍵值: 字串: "EnableDCOM "="Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Update Service\
鍵值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
鍵值: 字串:"C:\WINDOWS\system32\dllcache\msiupdate32.exe " ="C:\WINDOWS
\system32\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft update Service\
鍵值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\
鍵值: 字串:"C:\WINDOWS\system32\dllcache\msiupdate32.exe "="C:\WINDOWS\system32
\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
3、關掉系統自動更新程式,使用用戶不能自動更新系統補丁
4、連線網路,更新tcpip.sys檔案,使用戶配置與系統版本不附。
IP:206.83.210.218
5、該病毒利用IRC通信信道遠程控制用戶:
6、嘗試弱口令:
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%system32%\dllcache\msiupdate32.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
新建鍵值: 字串: "EnableDCOM "="N"
原鍵值:: 字串: "EnableDCOM "="Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft update Service\
鍵值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache
\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\Authorized
Applications\List\
鍵值: 字串:"C:\WINDOWS\system32\dllcache\msiupdate32.exe"
="C:\WINDOWS\system32\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft update Service\
鍵值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache
\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\Authorized
Applications\List\
鍵值: 字串:"C:\WINDOWS\system32\dllcache\msiupdate32.exe
"="C:\WINDOWS\system32\dllcache\msiupdate32.exe:*:
Enabled:Microsoft update Service"