“Backdoor.Win32.IRCbot.ace”的意思、由来-中文百科全书

病毒信息

病毒名称： Backdoor.Win32.IRCbot.ace

中文名称： IRC后门

病毒类型：后门类

文件 MD5： AE08FBD92E55036EDC296D5BF99B5700

公开范围：完全公开

危害等级： 4

文件长度： 73,317 字节

感染系统： WinNT以上系统

开发工具： Microsoft Visual C++ 6.0

加壳类型： Krypton 0.5变形壳

行为分析

1 、复制自身到 %system32% 文件夹下，并按内置列表随机重新命名。

内置列表：

winamp.exe

winIogon.exe

firewall.exe

spooIsv.exe

spoolsvc.exe

Isass.exe

lssas.exe

algs.exe

logon.exe

iexplore.exe

csrs.exe

2 、新建注册表键值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

键值：字串： "Windows Logon Application"="C:\\WINDOWS\\System32\\( 病毒名 )"

3 、衍生自删除 bat 文件在当前路径下，并调用删除自身， bat 文件名为随机生成。

4 、 IRC 服务器名：

5 、加入的 IRC 频道名：

频道名： #last

频道名： #rs2

用户名：随机

密码：空

6 、 IRC 服务端可响应下列命令：

nick ：设置昵称

quit ：退出

join ：加入一个频道

open ：

user: 设置用户名

unkuser %s %s %s :%s

pass: 设置口令

notice %S privmsg %s:

privmsg %s

notice %s :privmsg %s :

message

send

ping: 服务端向客户端发送 ping 命令

pong: 客户端回应 pong 命令

dcc send %s (%s): 传送文件

get /%s http/1.0\\host: %s\\\\

mode %s +smntu ：修改频道或用户模式

mode %s +xi001mode %s +smntu

userhost %smode %s +xi001mode %s +smntu

451userhost %smode %s +xi001mode %s +smntu

302451userhost %smode %s +xi001mode %s +smntu

// 扫描命令模式

-x 3 2000 fh 1024 jan 1 0:00 .\\drwxr-xr-x 3 2000 fh 1024 jan 1 0:00 ..

\\-rwxr-xr-x 3 2000 fh %u jan 1 0:00 %s\\

226 -\\-x 3 2000 fh 1024 jan 1 0:00 .\\drwxr-xr-x 3 2000 fh 1024

jan 1 0:00 ..\\-rwxr-xr-x 3 2000 fh %u jan 1 0:00 % s\\

226 -\\-x 3 2000 fh 1024 jan 1 0:00 .\\drwxr-xr-x 3 2000 fh 1024

jan 1 0:00 ..\\-rwxr-xr-x 3 2000 fh %u jan 1 0:00 % s\\

7 、自动连接以下 IRC 服务器列表：

6*.4*.2*6.*6:5190

6*.4*.2*6.*6:10324

6*.4*.2*6.*6:8080

6*.4*.2*6.*6:1863

6*.4*.2*6.*7:5190

6*.4*.2*6.*7:8080

6*.4*.2*6.*7:10324

6*.4*.2*6.*7:1863

6*.4*.2*6.*8:10324

6*.4*.2*6.*8:1863

6*.4*.2*6.*8:5190

6*.4*.2*6.*8:8080

6*.4*.2*6.*9:5190

6*.4*.2*6.*9:10324

6*.4*.2*6.*9:8080

6*.4*.2*6.*9:1863

8 、下载服务器地址及文件：

72.10.167.74 （加拿大纽宾士省 St.Quentin ）

9 、枚举本地网络地址，创建大量线程扫描，发送 SYN 包到目的地址 135 端口，欲对目标地址

溢出攻击：

135/TCP epmap // 协议信息

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

清除方案

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用安天木马防线断开网络，结束病毒进程。

(2)删除病毒衍生文件：

删除 %system32% 文件夹下的以下列表中的文件：

winamp.exe

winIogon.exe

firewall.exe

spooIsv.exe

spoolsvc.exe

Isass.exe

lssas.exe

algs.exe

logon.exe

iexplore.exe

csrs.exe

(3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run

键值：字串： "Windows Logon Application"=

"C:\\WINDOWS\\System32\\( 病毒名 )"

词条	Backdoor.Win32.IRCbot.ace
释义	该病毒运行后，衍生病毒文件到系统目录下，添加注册表自动运行项以跟随系统引导病毒体。病毒体从指定服务器下载病毒体到本机运行，连接 IRC 服务器等待接收指令。枚举本地网络地址，对目的地址 135 端口进行扫描予以溢出。此病毒可通过网络共享、弱口令传播。病毒信息行为分析清除方案病毒信息病毒名称： Backdoor.Win32.IRCbot.ace 中文名称： IRC后门病毒类型：后门类文件 MD5： AE08FBD92E55036EDC296D5BF99B5700 公开范围：完全公开危害等级： 4 文件长度： 73,317 字节感染系统： WinNT以上系统开发工具： Microsoft Visual C++ 6.0 加壳类型： Krypton 0.5变形壳行为分析 1 、复制自身到 %system32% 文件夹下，并按内置列表随机重新命名。内置列表： winamp.exe winIogon.exe firewall.exe spooIsv.exe spoolsvc.exe Isass.exe lssas.exe algs.exe logon.exe iexplore.exe csrs.exe 2 、新建注册表键值： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值：字串： "Windows Logon Application"="C:\\WINDOWS\\System32\\( 病毒名 )" 3 、衍生自删除 bat 文件在当前路径下，并调用删除自身， bat 文件名为随机生成。 4 、 IRC 服务器名： 5 、加入的 IRC 频道名：频道名： #last 频道名： #rs2 用户名：随机密码：空 6 、 IRC 服务端可响应下列命令： nick ：设置昵称 quit ：退出 join ：加入一个频道 open ： user: 设置用户名 unkuser %s %s %s :%s pass: 设置口令 notice %S privmsg %s: privmsg %s notice %s :privmsg %s : message send ping: 服务端向客户端发送 ping 命令 pong: 客户端回应 pong 命令 dcc send %s (%s): 传送文件 get /%s http/1.0\\host: %s\\\\ mode %s +smntu ：修改频道或用户模式 mode %s +xi001mode %s +smntu userhost %smode %s +xi001mode %s +smntu userhost %smode %s +xi001mode %s +smntu 451userhost %smode %s +xi001mode %s +smntu 302451userhost %smode %s +xi001mode %s +smntu // 扫描命令模式 -x 3 2000 fh 1024 jan 1 0:00 .\\drwxr-xr-x 3 2000 fh 1024 jan 1 0:00 .. \\-rwxr-xr-x 3 2000 fh %u jan 1 0:00 %s\\ 226 -\\-x 3 2000 fh 1024 jan 1 0:00 .\\drwxr-xr-x 3 2000 fh 1024 jan 1 0:00 ..\\-rwxr-xr-x 3 2000 fh %u jan 1 0:00 % s\\ 226 -\\-x 3 2000 fh 1024 jan 1 0:00 .\\drwxr-xr-x 3 2000 fh 1024 jan 1 0:00 ..\\-rwxr-xr-x 3 2000 fh %u jan 1 0:00 % s\\ 7 、自动连接以下 IRC 服务器列表： 6.4.26.6:5190 6.4.26.6:10324 6.4.26.6:8080 6.4.26.6:1863 6.4.26.7:5190 6.4.26.7:8080 6.4.26.7:10324 6.4.26.7:1863 6.4.26.8:10324 6.4.26.8:1863 6.4.26.8:5190 6.4.26.8:8080 6.4.26.9:5190 6.4.26.9:10324 6.4.26.9:8080 6.4.26.9:1863 8 、下载服务器地址及文件： 72.10.167.74 （加拿大纽宾士省 St.Quentin ） 9 、枚举本地网络地址，创建大量线程扫描，发送 SYN 包到目的地址 135 端口，欲对目标地址溢出攻击： 135/TCP epmap // 协议信息注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。清除方案 1 、使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1)使用安天木马防线断开网络，结束病毒进程。 (2)删除病毒衍生文件：删除 %system32% 文件夹下的以下列表中的文件： winamp.exe winIogon.exe firewall.exe spooIsv.exe spoolsvc.exe Isass.exe lssas.exe algs.exe logon.exe iexplore.exe csrs.exe (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值：字串： "Windows Logon Application"= "C:\\WINDOWS\\System32\\( 病毒名 )"
随便看	战斗与冲突心理学战斗宇航员战斗欲望坠饰战斗原始人战斗员战斗在淮南：新四军第二师暨淮南抗日民主根据地回忆录战斗在美利坚战斗在美利坚：一个草根女的美国留学闯关经历战斗侦察战斗之魂DS 战斗之魂：英雄灵魂战斗之魂:英雄灵魂战斗之路战斗之翼战斗之翼：不列颠之战战斗中的空中堡垒群战斗重量战斗转弯战斗装甲师战斗妆战斗自然村战痘记战痘美容术战多战恶龙