Win32/IRCBot.worm系列病毒变种及防治
来源:TechTarget
近来有用户向我们反映,系统感染了Win32/IRCBot.worm.64512.P的病毒,而不知道如何处理,我们的编辑搜集了相关的资料,希望能够对大家有所帮助。
Win32/IRCBot.worm.64512.P仍然是Win32/IRCBot.worm 蠕虫的变种之一。该蠕虫试图利用Windows的漏洞和SQL数据库中SA用户设置的密码过于简单的漏洞来传播。运行该程序会在Windows系统目录下生成wipv6.exe(64,512 bytes)和msdirectx.sys(6,656 bytes)文件。打开任意的TCP端口并试图从特定IRC服务器连接并以以管理者(Operator)的身份执行恶意控制。
中毒后的症状可以如下:
运行后显示如下症状:
在Window 系统目录下生成如下文件:
C:Windows 系统目录wipv6.exe (64,512 bytes)
C:Windows 系统目录msdirectx.sys (6,656 bytes)
注意:windows系统文件夹的类型以版本不同有差异。在Windows 95/98/Me 下C:WindowsSystem, windows NT/2000, C:WinNTSystem32,windows XP是C:WindowsSystem32 文件夹。
更改注册表当系统启动时自动运行:
HKEY_CURRENT_USERSoftwareMicrosoftOLE
Windows IPv6 Drivers = wipv6.exe
HKEY_CURRENT_USERSoftwareMicorsoftWindowsCurrentVersionRun
Windows IPv6 Drivers = wipv6.exe
HKEY_CURRENT_USERSoftwareMicorsoftWindowsCurrentVersionRunServices
Windows IPv6 Drivers = wipv6.exe
HKEY_CURRENT_USERSYSTEMCurrentControlSetControlLsa
Windows IPv6 Drivers = wipv6.exe
HKEY_LOACL_MACHINESOFTWAREMicrosoftOle
Windows IPv6 Drivers = wipv6.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Windows IPv6 Drivers = wipv6.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Windows IPv6 Drivers = wipv6.exe
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlLsa
Windows IPv6 Drivers = wipv6.exe
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
Windows IPv6 Drivers = wipv6.exe
HKEY_USERS用户账户的 S-id 值SoftwareMicrosoftOLE
Windows IPv6 Drivers = wipv6.exe
HKEY_USERS用户账户的 S-id 值SoftwareMicrosoftWindowsCurrentVersionRun
Windows IPv6 Drivers = wipv6.exe
HKEY_USERS用户账户的 S-id 值SoftwareMicrosoftWindowsCurrentVersionRunServices
Windows IPv6 Drivers = wipv6.exe
HKEY_USERS用户账户的 S-id 值SYSTEMCurrentControlSetControlLsa
Windows IPv6 Drivers = wipv6.exe
HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesmsdirectx
ImagePath = ??C:Windows 系统目录msdirectx.sys
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmsdirectx
ImagePath = ??C:Windows 系统目录msdirectx.sys
一般可运行的恶性功能如下
运行文件以及删除 (运行其它蠕虫, 病毒)
下载文件以及装入(盗取机密文件)
强制结束特定进程
确认系统信息 (泄露用户信息)
搜索网路
强制解除共享文件夹
强制结束系统的 DCOM 服务
MS-SQL 数据库中运行 xp_cmdshell 进程
解决方案:安博士相关内容(_view.asp?id=505">点击链接)
相关下载:
_366.html">Win32/IRCBot.worm专杀工具
_125.html">安博士最新病毒库Win32/IRCBot.worm 2004.11.15
另外以下是曾经出现过的Win32/IRCBot.worm的一些变种,如果出现以下症状的用户可以到相关的网址去找到解决方案。
Win32/IRCBot.worm.108032.I
Win32/IRCBot.worm.159744
Win32/IRCBot.worm.103832
Win32/IRCBot.worm.108544.L
- 上一篇:实例讲解密码的破解及抗击手段
- 下一篇:asp无组件上传的原理
- 文章
- 推荐
- 热门新闻