“Backdoor.Win32.IRCBot.aaq”的意思、由来-中文百科全书

简介

病毒名称： Backdoor.Win32.IRCBot.aaq

病毒类型：后门

文件 MD5： 383FA8F31BC56113DBB9F5B7527A6D0D

公开范围：完全公开

危害等级： 5

文件长度： 18,944 字节

感染系统： windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

该病毒为后门类，病毒运行后衍生病毒文件到系统目录下，关闭当前任务管理器中所有可以关闭的进程，把衍生的 DLL 文件插入到系统正常进程 Explorer.exe 中，并通过 rdshost.dll 连接指定的 IRC 信道，并接受控制者远程控制。修改注册表，添加启动项，以达到随机启动的目的。该病毒通过 MSN 传播，会检查用户是否开启 MSN ，如果开启则自动向用户 MSN 中的好友自动发送消息，并把病毒衍生的文件 photo album.zip 做为附件发送。

行为分析

1 、病毒运行后衍生病毒文件到系统目录下：

%WINDIR%\\photo album.zip

%system32%\\rdshost.dll

2 、关闭当前任务管理器中所有可以关闭的进程。

3 、把病毒衍生的文件 rdshost.dll插入到系统正常进程Explorer.exe中，并通过rdshost.dll

连接指定的IRC信道，并接受控制者远程控制。

4 、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\

ShellServiceObjectDelayLoad

键值：字串： " rdshost " = " {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} "

HKEY_CLASSES_ROOT\\CLSID\\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\\InProcServer32

键值：字串： " @ " = " rdshost.dll "

注： {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为可变字串。

5 、该病毒通过 MSN传播，会检查用户是否开启MSN，如果开启则自动向用户MSN中的好友自动发送

消息，并把病毒衍生的文件photo album.zip做为附件发送：

自动向 MSN好友发送消息：

QUOTE:

HEY lol i've done a new photo album !:) Second ill find file and send you

it.Hey wanna see my new photo album?Hey accept my photo album, Nice new pics of

me and my friends and stuff and when i was young lol...

Hey just finished new photo album! :) might be a few nudes ;) lol...

hey you got a photo album? anyways heres my new photo album :) accept k?hey man

accept my new photo album.. :( made it for yah, been doing picture story of my

life lol..

并把病毒衍生的文件photo album.zip做为附件发送。

6 、控制者利用 IRC通信信道远程控制中毒计算机：

连接的 IRC信道：darkjester.xplosionirc.net

标准 IRC控制命令：

NICK [%s][%iH]%s\

lol lol lol :shadowbot

USER %s\

#test

JOIN %s\

PING :

PONG :%s\

404JOIN %s\

#test

JOIN %s\

KICK

#test

JOIN %s\

PRIVMSGNOTICE

NOTICE

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

清除方案

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线 “进程管理”关闭病毒进程

(2) 删除病毒文件：

%WINDIR%\\photo album.zip

%system32%\\rdshost.dll

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

删除注册表中所有的 rdshost.dll键值。

词条	Backdoor.Win32.IRCBot.aaq
释义	简介病毒描述行为分析清除方案简介病毒名称： Backdoor.Win32.IRCBot.aaq 病毒类型：后门文件 MD5： 383FA8F31BC56113DBB9F5B7527A6D0D 公开范围：完全公开危害等级： 5 文件长度： 18,944 字节感染系统： windows98以上版本开发工具： Microsoft Visual C++ 6.0 加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 病毒描述该病毒为后门类，病毒运行后衍生病毒文件到系统目录下，关闭当前任务管理器中所有可以关闭的进程，把衍生的 DLL 文件插入到系统正常进程 Explorer.exe 中，并通过 rdshost.dll 连接指定的 IRC 信道，并接受控制者远程控制。修改注册表，添加启动项，以达到随机启动的目的。该病毒通过 MSN 传播，会检查用户是否开启 MSN ，如果开启则自动向用户 MSN 中的好友自动发送消息，并把病毒衍生的文件 photo album.zip 做为附件发送。行为分析 1 、病毒运行后衍生病毒文件到系统目录下： %WINDIR%\\photo album.zip %system32%\\rdshost.dll 2 、关闭当前任务管理器中所有可以关闭的进程。 3 、把病毒衍生的文件 rdshost.dll插入到系统正常进程Explorer.exe中，并通过rdshost.dll 连接指定的IRC信道，并接受控制者远程控制。 4 、修改注册表，添加启动项，以达到随机启动的目的： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ ShellServiceObjectDelayLoad 键值：字串： " rdshost " = " {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} " HKEY_CLASSES_ROOT\\CLSID\\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\\InProcServer32 键值：字串： " @ " = " rdshost.dll " 注： {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为可变字串。 5 、该病毒通过 MSN传播，会检查用户是否开启MSN，如果开启则自动向用户MSN中的好友自动发送消息，并把病毒衍生的文件photo album.zip做为附件发送：自动向 MSN好友发送消息： QUOTE: HEY lol i've done a new photo album !:) Second ill find file and send you it.Hey wanna see my new photo album?Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol... Hey just finished new photo album! :) might be a few nudes ;) lol... hey you got a photo album? anyways heres my new photo album :) accept k?hey man accept my new photo album.. :( made it for yah, been doing picture story of my life lol.. 并把病毒衍生的文件photo album.zip做为附件发送。 6 、控制者利用 IRC通信信道远程控制中毒计算机：连接的 IRC信道：darkjester.xplosionirc.net 标准 IRC控制命令： NICK [%s][%iH]%s\ lol lol lol :shadowbot USER %s\ #test JOIN %s\ %s PING : PING : PING : PONG :%s\ 404JOIN %s\ #test JOIN %s\ KICK #test JOIN %s\ PRIVMSGNOTICE NOTICE 注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。清除方案 1 、使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线 “进程管理”关闭病毒进程 (2) 删除病毒文件： %WINDIR%\\photo album.zip %system32%\\rdshost.dll (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项删除注册表中所有的 rdshost.dll键值。
随便看	怪兽迷宫怪兽培养计划怪兽培养计划妖怪计划怪兽碰碰车怪兽篇怪兽频发期怪兽塔防扩展板怪兽塔防小游戏怪兽踏城怪兽台球怪兽挑战怪兽挑战奥特曼怪兽跳跃怪兽通缉令之独一无二怪兽突击队怪兽消除怪兽小队怪兽协奏曲怪兽学校：白雪公主的魔镜怪兽学校：变身面具怪兽学校：活死人之谜怪兽血猩森林怪兽驯养员怪兽研究所怪兽也疯狂

简介

病毒描述

行为分析

清除方案