“IRC波特變種BBU”（Backdoor.Win32.ircbot.bbu）病毒技術分析
病毒名稱：backdoor.win32.ircbot.bbu
感染的作業系統：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威脅情況：
傳播級別：低
全球化傳播態勢：低
清除難度：困難
破壞力：低
破壞手段：惡意操縱感染機器
之後該病毒獲取當前進程的全路徑名，若路徑中包含"InsideTm"則退出。
該病毒把自己拷貝到%SystemDir%\\drivers\\wmiadapi.exe啟動該進程進程。若拷貝失敗,則設定檔案時間信息與explorer.exe相同。
該病毒會設定如下註冊表鍵值：
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
\StandardProfile\Awmiadapi.exe:*:Enabled:AutoDiscovery/AutoPurge (ADAP) Service
Software\Microsoft\Windows\CurrentVersion\Run
AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\drivers\\wmiadapi.exe
Software\Microsoft\Windows\CurrentVersion\RunServices
AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\drivers\\wmiadapi.exe
Software\Microsoft\OLE
AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\drivers\\wmiadapi.exe
SYSTEM\CurrentControlSet\Control\Lsa
AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\drivers\\wmiadapi.exe
之後該病毒創建一個執行緒來檢測多個防毒的進程，如果發現則將其結束。
之後該病毒會一次完成以下操作：
1、獲取網路狀態，使用dns/socket連線cftp.dawnsoul.info
2、獲取本地時間、os版本、系統目錄和tcpip.sys的版本若符合條件則啟動執行緒為tcpip.sys打補丁來破壞系統的一些正常網路功能。
3、進入shell命令循環
4、傳送IRC登入命令 NICK ?? USER ?? 0 0 :??
該病毒可以通過IRC來接受名，其支持的命令有：
命令格式:
nick_name(user):cmd2 cmd3 ... CMDN\r\n
!PING target
nick_name(user)
---------------
cmd2 cmd3 描述
+--------------+----------------+-------------
PING xxxx 類似echo,返回PONG xxxx
NOTICE
001
005
302
433
KICK
353
332
NICK
PART
QUIT
353
rnick -->返回nick_name "NICK %s\r\n" //%s->rand_num / pid
key --> 獲取OS的ProductID
die 332 -->進程退出
logout
gftp -->返回CFTP server: stfu.own3d.biz, port: 21, user: username, pass: password, file: sexy.exe.
R.e.c.o.n.n.e.c.t -->reconnect
d.i.s.c.o.n.n.e.c.t -->close
leave
status -->返回SexyGame ready. Up %dd %dh %dm. 系統已運行時間
ver -->返回SexyGame by !!!!
id -->返回fuck3rz
t sub -->列出運行的執行緒
pst -->返回playin p.store!,並通過pstorec.dll枚舉本機存儲信息
log
system -->獲取系統信息,mem,version,user,computer_name,time
driver -->枚舉驅動器信息
?
s
uptime -->已運行的時間
stop -->停止掃描
procs full -->創建執行緒,枚舉進程
bk on -->
bk off -->關閉Cleaner thread
sn on -->啟動嗅探執行緒
sn off -->關閉...
killproc proc_module -->關閉進程
killid proc_id -->關閉進程
FIND ip -->掃描
nick
j
p
r
killth
all
open file_path -->運行檔案
dns dns_name -->dns查詢
mIRCMD -->命令
pm
act
cyc 332
mode
repeat 332
delay 332
au -->程式升級,http下載並執行
exe path -->創建進程
du -->http下載並執行
find
sftp -->stfu.own3d.biz
安全建議：
1 安裝正版防毒軟體、個人防火牆和卡卡上網安全助手,並及時升級，瑞星防毒軟體每天至少升級三次。
2 使用“瑞星系統安全漏洞掃描”，打好補丁，彌補系統漏洞。
3 不瀏覽不良網站，不隨意下載安裝可疑外掛程式。
4 不接收QQ、MSN、Emial等傳來的可疑檔案。
5 上網時打開防毒軟體實時監控功能。
6 把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險柜”中，可以有效保護密碼安全。
清除辦法：
1 . 瑞星防毒軟體清除辦法：
安裝瑞星防毒軟體，升級到19.32.32版以上，對電腦進行全盤掃描，按照軟體提示進行操作，即可徹底查殺。