MIRC蠕虫手动清除的方法

admin · 发表于 2008-4-14 01:09:28

病毒描述：
　　该蠕虫病毒是一个基于irc聊天室的蠕虫，它具有irc聊天服务器功能，通过扫描网上的弱密码传播。
　　传播机理：
　　该病毒的传播机理比较简单，是通过一个批处理命令来实现的。
　　文件的内容如下：<IMG onclick=get_larger(this) src="http://img.ddvip.com/2006_08/1154547217_ddvip_1191.bmp"> 
　　从这个批处理文件我们可以很清楚的看出病毒传播的过程，它首先使用系统自带net use命令去测试空口令和弱口令账号的连接，一旦成功便是用psexec命令将fonts.exe文件考到对方的机器上运行。Fonts.exe为一个病毒的打包程序。运行该程序会在 %admin%/fonts/目录下生成一系列文件包括：
　　adobea.exe　(mirc的主程序)
　　adobes.exe　（病毒启动文件）
　　attrib.exe　（修改文件属性程序）
　　b.exe　　　（隐藏进程文件）
　　kill.exe　　　（远程杀进程软件）
　　psexec.exe　（远程执行软件）
　　xdcc.exe　（未完成的功能的）
　　abc.bat　　　(病毒传播的批处理文件)
　　abc.dll
　　abc2.dll
　　moo.dll　　　(以上三个都为adobea启动时需要的动态库文件)
　　病毒程序执行后会在注册表里添加如下的键值，以便在下次启动时能正常运行：
　　//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run
　　键值：AdobeA　　　　　　　%admin%\fonts\adobes.exe
　　病毒危害：
　　adobea.exe为一个修改过的irc聊天服务程序，它会在后台偷偷的运行，并将本地的信息发往国外的IRC服务器，通过IRC的脚本执行功能，入侵者可以通过其他的IRC服务器来控制被感染的机器使之成为一个功能强大的服务器（功能包括文件传输，网络扫描，DOS攻击等多项功能）
　　检测方法：
　　1）察看系统目录中FONTS目录下是否有病毒的相关文件，WINDOWS默认设置下在FONTS目录下只能看到字体文件，我们可以通过在命令行状态下使用DIR 命令察看。
　　2）察看注册表中的相关键值，看是否有上面所提的%admin%\fonts\adobes.exe键值3）使用NETSTAT –AN命令察看是否有目标端口为6667的连接
　　清除方法：
　　手动清除方法
　　1）使用进程管理功能，杀掉ADOBEA.EXE进程
　　2）到注册表中的
　　//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run
　　项中删除键值：AdobeA　　　　　　　%admin%
　　\fonts\adobes.exe
　　3）清除FONTS目录下的所有蠕虫生成的文件
　　4）重新启动机器
　　相关的杀毒软件升级到最新的病毒库均能查杀次病毒

账号		自动登录	找回密码
密码			注册账户