当前位置:在线查询网 > 在线百科全书查询 > Backdoor.Win32.IRCBot.aaq

Backdoor.Win32.IRCBot.aaq_在线百科全书查询


请输入要查询的词条内容:

Backdoor.Win32.IRCBot.aaq

简介

病毒名称: Backdoor.Win32.IRCBot.aaq

病毒类型: 后门

文件 MD5: 383FA8F31BC56113DBB9F5B7527A6D0D

公开范围: 完全公开

危害等级: 5

文件长度: 18,944 字节

感染系统: windows98以上版本

开发工具: Microsoft Visual C++ 6.0

加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24

病毒描述

该病毒为后门类,病毒运行后衍生病毒文件到系统目录下,关闭当前任务管理器中所有可以关闭的进程,把衍生的 DLL 文件插入到系统正常进程 Explorer.exe 中,并通过 rdshost.dll 连接指定的 IRC 信道,并接受控制者远程控制。修改注册表,添加启动项,以达到随机启动的目的。该病毒通过 MSN 传播,会检查用户是否开启 MSN ,如果开启则自动向用户 MSN 中的好友自动发送消息,并把病毒衍生的文件 photo album.zip 做为附件发送。

行为分析

1 、病毒运行后衍生病毒文件到系统目录下:

%WINDIR%\\photo album.zip

%system32%\\rdshost.dll

2 、关闭当前任务管理器中所有可以关闭的进程。

3 、把病毒衍生的文件 rdshost.dll插入到系统正常进程Explorer.exe中,并通过rdshost.dll

连接指定的IRC信道,并接受控制者远程控制。

4 、修改注册表,添加启动项,以达到随机启动的目的:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\

ShellServiceObjectDelayLoad

键值:字串: " rdshost " = " {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} "

HKEY_CLASSES_ROOT\\CLSID\\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\\InProcServer32

键值:字串: " @ " = " rdshost.dll "

注: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为可变字串。

5 、该病毒通过 MSN传播,会检查用户是否开启MSN,如果开启则自动向用户MSN中的好友自动发送

消息,并把病毒衍生的文件photo album.zip做为附件发送:

自动向 MSN好友发送消息:

QUOTE:

HEY lol i''ve done a new photo album !:) Second ill find file and send you

it.Hey wanna see my new photo album?Hey accept my photo album, Nice new pics of

me and my friends and stuff and when i was young lol...

Hey just finished new photo album! :) might be a few nudes ;) lol...

hey you got a photo album? anyways heres my new photo album :) accept k?hey man

accept my new photo album.. :( made it for yah, been doing picture story of my

life lol..

并把病毒衍生的文件photo album.zip做为附件发送。

6 、控制者利用 IRC通信信道远程控制中毒计算机:

连接的 IRC信道:darkjester.xplosionirc.net

标准 IRC控制命令:

NICK [%s][%iH]%s\

lol lol lol :shadowbot

USER %s\

#test

JOIN %s\

%s

PING :

PING :

PING :

PONG :%s\

404JOIN %s\

#test

JOIN %s\

KICK

#test

JOIN %s\

PRIVMSGNOTICE

NOTICE

注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

清除方案

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用 安天木马防线 “进程管理”关闭病毒进程

(2) 删除病毒文件:

%WINDIR%\\photo album.zip

%system32%\\rdshost.dll

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

删除注册表中所有的 rdshost.dll键值。

相关分词: Backdoor Win 32 IRCBot aaq