Backdoor.Win32.IRCBot.aaq
简介
病毒名称: Backdoor.Win32.IRCBot.aaq
病毒类型: 后门
文件 MD5: 383FA8F31BC56113DBB9F5B7527A6D0D
公开范围: 完全公开
危害等级: 5
文件长度: 18,944 字节
感染系统: windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
病毒描述
该病毒为后门类,病毒运行后衍生病毒文件到系统目录下,关闭当前任务管理器中所有可以关闭的进程,把衍生的 DLL 文件插入到系统正常进程 Explorer.exe 中,并通过 rdshost.dll 连接指定的 IRC 信道,并接受控制者远程控制。修改注册表,添加启动项,以达到随机启动的目的。该病毒通过 MSN 传播,会检查用户是否开启 MSN ,如果开启则自动向用户 MSN 中的好友自动发送消息,并把病毒衍生的文件 photo album.zip 做为附件发送。
行为分析
1 、病毒运行后衍生病毒文件到系统目录下:
%WINDIR%\\photo album.zip
%system32%\\rdshost.dll
2 、关闭当前任务管理器中所有可以关闭的进程。
3 、把病毒衍生的文件 rdshost.dll插入到系统正常进程Explorer.exe中,并通过rdshost.dll
连接指定的IRC信道,并接受控制者远程控制。
4 、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
ShellServiceObjectDelayLoad
键值:字串: " rdshost " = " {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} "
HKEY_CLASSES_ROOT\\CLSID\\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\\InProcServer32
键值:字串: " @ " = " rdshost.dll "
注: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为可变字串。
5 、该病毒通过 MSN传播,会检查用户是否开启MSN,如果开启则自动向用户MSN中的好友自动发送
消息,并把病毒衍生的文件photo album.zip做为附件发送:
自动向 MSN好友发送消息:
QUOTE:
HEY lol i''ve done a new photo album !:) Second ill find file and send you
it.Hey wanna see my new photo album?Hey accept my photo album, Nice new pics of
me and my friends and stuff and when i was young lol...
Hey just finished new photo album! :) might be a few nudes ;) lol...
hey you got a photo album? anyways heres my new photo album :) accept k?hey man
accept my new photo album.. :( made it for yah, been doing picture story of my
life lol..
并把病毒衍生的文件photo album.zip做为附件发送。
6 、控制者利用 IRC通信信道远程控制中毒计算机:
连接的 IRC信道:darkjester.xplosionirc.net
标准 IRC控制命令:
NICK [%s][%iH]%s\
lol lol lol :shadowbot
USER %s\
#test
JOIN %s\
%s
PING :
PING :
PING :
PONG :%s\
404JOIN %s\
#test
JOIN %s\
KICK
#test
JOIN %s\
PRIVMSGNOTICE
NOTICE
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。
清除方案
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用 安天木马防线 “进程管理”关闭病毒进程
(2) 删除病毒文件:
%WINDIR%\\photo album.zip
%system32%\\rdshost.dll
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
删除注册表中所有的 rdshost.dll键值。