论坛 › 软件资源共享 › MIRC蠕虫手动清除的方法

admin 发表于 2008-4-14 01:09:28

MIRC蠕虫手动清除的方法

<BR><FONT size=2>&nbsp; &nbsp; </FONT>
<P><FONT size=2>　　病毒描述：</FONT></P>
<P><FONT size=2>　　该蠕虫病毒是一个基于irc聊天室的蠕虫，它具有irc聊天服务器功能，通过扫描网上的弱密码传播。</FONT></P>
<P><FONT size=2>　　传播机理：</FONT></P>
<P><FONT size=2>　　该病毒的传播机理比较简单，是通过一个批处理命令来实现的。</FONT></P>
<P><FONT size=2>　　文件的内容如下：</FONT></P><FONT size=2><IMG onclick=get_larger(this) src="http://img.ddvip.com/2006_08/1154547217_ddvip_1191.bmp"> </FONT>
<P><FONT size=2>　　从这个批处理文件我们可以很清楚的看出病毒传播的过程，它首先使用系统自带net use命令去测试空口令和弱口令账号的连接，一旦成功便是用psexec命令将fonts.exe文件考到对方的机器上运行。Fonts.exe为一个病毒的打包程序。运行该程序会在 %admin%/fonts/目录下生成一系列文件包括：</FONT></P>
<P><FONT size=2>　　adobea.exe　(mirc的主程序)</FONT></P>
<P><FONT size=2>　　adobes.exe　（病毒启动文件）</FONT></P>
<P><FONT size=2>　　attrib.exe　 （修改文件属性程序）</FONT></P>
<P><FONT size=2>　　b.exe　　　 （隐藏进程文件）</FONT></P>
<P><FONT size=2>　　kill.exe　　　（远程杀进程软件）</FONT></P>
<P><FONT size=2>　　psexec.exe　 （远程执行软件）</FONT></P>
<P><FONT size=2>　　xdcc.exe　 （未完成的功能的）</FONT></P>
<P><FONT size=2>　　abc.bat　　　(病毒传播的批处理文件)</FONT></P>
<P><FONT size=2>　　abc.dll</FONT></P>
<P><FONT size=2>　　abc2.dll</FONT></P>
<P><FONT size=2>　　moo.dll　　　(以上三个都为adobea启动时需要的动态库文件)</FONT></P>
<P><FONT size=2>　　病毒程序执行后会在注册表里添加如下的键值，以便在下次启动时能正常运行：</FONT></P>
<P><FONT size=2>　　//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run</FONT></P>
<P><FONT size=2>　　键值：AdobeA　　　　　　　%admin%\fonts\adobes.exe</FONT></P>
<P><FONT size=2>　　病毒危害：</FONT></P>
<P><FONT size=2>　　adobea.exe为一个修改过的irc聊天服务程序，它会在后台偷偷的运行，并将本地的信息发往国外的IRC服务器，通过IRC的脚本执行功能，入侵者可以通过其他的IRC服务器来控制被感染的机器使之成为一个功能强大的服务器（功能包括文件传输，网络扫描，DOS攻击等多项功能）</FONT></P>
<P><FONT size=2>　　检测方法：</FONT></P>
<P><FONT size=2>　　1）察看系统目录中FONTS目录下是否有病毒的相关文件，WINDOWS默认设置下在FONTS目录下只能看到字体文件，我们可以通过在命令行状态下使用DIR 命令察看。</FONT></P>
<P><FONT size=2>　　2）察看注册表中的相关键值，看是否有上面所提的%admin%\fonts\adobes.exe键值3）使用NETSTAT –AN命令察看是否有目标端口为6667的连接</FONT></P>
<P><FONT size=2>　　清除方法：</FONT></P>
<P><FONT size=2>　　手动清除方法</FONT></P>
<P><FONT size=2>　　1）使用进程管理功能，杀掉ADOBEA.EXE进程</FONT></P>
<P><FONT size=2>　　2）到注册表中的</FONT></P>
<P><FONT size=2>　　//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run</FONT></P>
<P><FONT size=2>　　项中删除键值：AdobeA　　　　　　　%admin%</FONT></P>
<P><FONT size=2>　　\fonts\adobes.exe</FONT></P>
<P><FONT size=2>　　3）清除FONTS目录下的所有蠕虫生成的文件</FONT></P>
<P><FONT size=2>　　4）重新启动机器</FONT></P>
<P><FONT size=2>　　相关的杀毒软件升级到最新的病毒库均能查杀次病毒</FONT></P> <BR>

查看完整版本: MIRC蠕虫手动清除的方法