IRC全名为Internet Relay Chat，是一款即时聊天工具，类似网络聊天室，但功能更强大。

IRC

技术报告

手工清除方法

安全建议(1、建立良好的安全习惯 2、关闭或删除系统中不需要的服务 3、经常升级安全补丁 4、设置复杂的密码 5、迅速隔离受感染的计算机 6、经常了解一些反病毒资讯 7、最好是安装专业的防毒软件进行全面监控)

IRC

IRC没有国界限制，在国外非常流行。世界头号黑客Kevin Mitnick在被FBI通缉流亡期间与外界交流的唯一工具就是IRC。国外很多大学，商业机构都架设了IRC服务器。普通用户可以登陆特定的IRC服务器与自己的好友交谈、传输文件，非常方便。IRC的客户端主界面

IRC客户端与服务端通信采用的端口和相应协议是公开的，现在网上有很多IRC客户端软件，各有特色。同时，也正是由于协议的公开，给了病毒可乘之机。2004年年初，互连网开始大规模出现IRC后门病毒，全球的电脑都被笼罩在一个由IRC后门织成的网中，各家杀毒软件公司对此类病毒极为关注。

IRC病毒可以使用户机器里的信息完全暴露给黑客，直接造成用户损失。同时，IRC病毒和蠕虫一样通过网络自动传播，占用大量网络资源，很容易阻塞局域网，给很多公司的正常业务带来较大影响。并且，许多IRC病毒的源代码是公开的，一个初学者拿到代码后只需少量改动即可编译出一个新的病毒，再给病毒加上不同的壳，造成IRC后门病毒变种不断涌现，瑞星公司几乎每天都能截获10个以上IRC病毒变种。

通常，杀毒软件厂商将这些病毒命名为bot，根据一些特性的不同加上不同的前缀，如：Agobot，Rbot，Sdbot，Wootbot等。下面我们以最常见的瑞波病毒（Rbot）为例介绍IRC病毒。

Rbot运行后一般最少开启两个线程：

线程一负责登陆IRC服务器，与黑客进行通信。相信不少读者用过MSN里面的聊天机器人。你问它一些问题，他会聪明的回答你，不知道的还以为对方是个真人。Rbot就是一个类似聊天机器人的病毒。在登陆IRC服务器后，它等待其他聊天者向它提出问题，其实别人向Rbot提出的问题就是病毒将要执行的指令。比如：请把机器IP告诉我，结果Rbot就获取本地IP，发送到聊天室，从而暴露了用户的信息。同理，黑客可以获得被感染机器上的目录、文件列表、进程列表、注册表项、游戏帐号，还可以上传、下载、执行文件，甚至向某台机器发起DoS（拒绝服务）攻击…… 造成的后果与一般后门无异，但是操纵的形式非常特殊，想抓到幕后元凶也非常困难。

线程二负责传播自己。根据配置情况的不同，Rbot病毒体内一般都有弱口令字典，里面是待匹配的密码，一些常用的密码如Administrator，123，123456等均包含其中。随后病毒搜索并尝试连接本网段及相邻网段的所有计算机。并尝试用自带的口令字典对每个帐户进行密码猜解。这个过程需要占用大量的网络资源，如果一个局域网有多台机器同时中毒将可能造成整个局域网瘫痪。因此，一定要给本机帐户设置足够安全的密码（大小写字母、数字以及特殊符号混合）。

不同IRC后门病毒之间也是存在一些差别的。比如高波（Agobot）病毒具有和冲击波（Worm.Blaster）病毒相同的传播方式，即通过系统服务svchost.exe的DCOM漏洞进行传播。经常会导致svchost.exe非法操作、复制粘贴功能失效，甚至可能导致操作系统60秒倒计时自动重新启动计算机，给用户工作带来不便。

技术报告

IRC病毒集黑客、蠕虫、后门功能于一体，通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典，用户如不设置密码或密码过于简单都会使系统易受病毒影响。

病毒运行后将自己拷贝到系统目录下（Win　2K/NT/XP操作系统为系统盘的system32，win9x为系统盘的system），文件属性隐藏，名称不定，这里假设为xxx。exe，一般都没有图标。病毒同时写注册表启动项，项名不定，假设为yyy。病毒不同，写的启动项也不太一样，但肯定都包含这一项：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion

\\Run\\yyy　：　xxx。exe

其他可能写的项有：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Run\\　yyy　：　xxx。exe

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion

\\RunServices\\　yyy　：　xxx。exe

也有少数会写下面两项：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion

\\RunOnce\\yyy　：　xxx。exe

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\RunOnce\\yyy　：　xxx。exe

此外，一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。

病毒每隔一定时间会自动尝试连接特定的IRC服务器频道，为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令，病毒就会在本地执行不同的操作，并将本地系统的返回信息发回聊天室，从而造成用户信息的泄漏

这种后门控制机制是比较新颖的，即时用户觉察到了损失，想要追查黑客也是非常困难。

病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量网络带宽资源，容易造成局域网阻塞，国内不少企业用户的业务均因此遭受影响。

出于保护被IRC病毒控制的计算机的目的，一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己，而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。

手工清除方法

所有的IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下添加自己的启动项，并且项值只有文件名，不带路径，这给提供了追查的线索。通过下面几步可以安全的清除掉IRC病毒。

1、打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项，找出可疑文件的项目。

2、打开任务管理器（按Alt+Ctrl+Del或在任务栏单击鼠标右键，选择“任务管理器”），找到并结束与注册表文件项相对应的进程。若进程不能结束，则可以切换到安全模式进行操作。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键（或者在启动计算机时按住Ctrl键不放），在出现的启动选项菜单中，选择“Safe　Mode”或“安全模式”。

3、接着打开“我的电脑”，在“工具”菜单下选择“文件夹选项”，选择“显示所有文件”，然后点击“确定”。再进入系统文件夹，找出可疑文件并将它转移或删除，到这一步病毒就算清除了。

4、最后可手工把注册表里病毒的启动项清除，也可使用瑞星注册表修复工具清除。

安全建议

1、建立良好的安全习惯

不要轻易打开一些来历不明的邮件及其附件，不要轻易登陆陌生的网站。从网上下载的文件要先查毒再运行。

2、关闭或删除系统中不需要的服务

默认情况下，操作系统会安装一些辅助服务，如　FTP　客户端、Telnet　和　Web　服务器。这些服务为攻击者提供了方便，而又对大多数用户没有用。删除它们，可以大大减少被攻击的可能性。

3、经常升级安全补丁

据统计，大部分网络病毒都是通过系统及IE安全漏洞进行传播的，如：冲击波、震荡波、SCO炸弹AC/AD等病毒。如果机器存在漏洞则很可能造成病毒反复感染，无法清除干净。可以使用瑞星杀毒软件附带的“瑞星漏洞扫描”定期对系统进行检查。

4、设置复杂的密码

有许多网络病毒是通过猜测简单密码的方式对系统进行攻击。因此设置复杂的密码（大小写字母、数字、特殊符号混合，8位以上），将会大大提高计算机的安全系数，减少被病毒攻击的概率。

5、迅速隔离受感染的计算机

当您的计算机发现病毒或异常情况时应立即切断网络连接，以防止计算机受到更严重的感染或破坏，或者成为传播源感染其它计算机。

6、经常了解一些反病毒资讯

经常登陆信息安全厂商的官方主页，了解最新的资讯。这样您就可以及时发现新病毒并在计算机被病毒感染时能够作出及时准确的处理。比如了解一些注册表的知识，就可以定期查看注册表自启动项是否有可疑键值；了解一些程序进程知识，就可以查看内存中是否有可疑程序。

7、最好是安装专业的防毒软件进行全面监控

在病毒技术日新月异的今天，使用专业的反病毒软件对计算机进行防护仍是保证信息安全的最佳选择。用户在安装了反病毒软件之后，一定要开启实时监控功能并经常进行升级以防范最新的病毒，这样才能真正保障计算机的安全