Backdoor/IRC.Zapchast

病毒长度：1,223,314 字节

病毒类型：后门

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

Backdoor/IRC.Zapchast使黑客完全控制感染的计算机，它由多个文件组成，Ratsou.exe 是安装文件，大约1.2MB。

传播过程及特征：

1.创建文件夹：%Windir%\\System32\\Drivers\\Dsdn36,并在此插入下列文件：

Aim.dll

Aim.txt

C.dll

Crazy.exe

Empavms.exe

Flood.ocx

Ipservers.dll

Java.dll

Libparse.exe

Lsass.exe

Miconfig.exe

Moo.dll

Msccl.dll

Msconig.exe

Newuser.bat

Nhtml.dll

Regedit.dll

Remote.ini

Restart.exe

Sipg.ocx

Start.ocx

Sysboot.dll

Sysconfig.ocx

Syste32.dll

Temp

Unicod_look

Unicod_ready

Users.dll

Wincmd35.bat

Wind.dll

2.在 %System% 文件夹下插入文件：

explorer.dll

iexplore.dll

3.修改注册表：

添加键值：

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"HID.EXE"="%windir%\\system32\\dsdn36\\lsass.exe"

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"lsass"="%windir%\\system32\\dsdn36\\lsass.exe"

4.在注册表HKEY_LOCAL_MACHINE\\Software\\Classes挂钩到IRC文件，导致一旦打开chat文件时便调用%Windir%\\System32\\Drivers\\Dsdn36。病毒运行后，会在TCP端口6667连接IRC服务器，并加入特定的聊天频道，从而使黑客控制感染病毒的计算机。还可能打开TCP端口31337。