IRC後門病毒技術分析及手動清除方法

　　2004年年初，IRC後門病毒開始在全球網絡大規模出現。一方面有潛在的洩漏本地信息的危險，另一方面病毒出現在局域網中使網絡阻塞，影響正常工作，從而造成損失，瑞星公司客戶服務部每天都會接到多家公司的求助電話。

　　同時，由於病毒的源代碼是公開的，任何人拿到源碼後稍加修改就可編譯生成一個全新的病毒，再加上不同的殼，造成IRC後門病毒變種大量湧現。還有一些病毒每次運行後都會進行變形，給病毒查殺帶來很大困難。本文先從技術角度介紹IRC後門病毒，然後介紹其手工清除方法。

　　一、技術報告

　　IRC病毒集黑客、蠕蟲、後門功能於一體，通過局域網共享目錄和系統漏洞進行傳播。病毒自帶有簡單的口令字典，用戶如不設置密碼或密碼過於簡單都會使系統易受病毒影響。

　　病毒運行後將自己拷貝到系統目錄下(Win 2K/NT/XP操作系統為系統盤的system32，win9x為系統盤的system)，文件屬性隱藏，名稱不定，這裡假設為xxx.exe，一般都沒有圖標。病毒同時寫注冊表啟動項，項名不定，假設為yyy。病毒不同，寫的啟動項也不太一樣，但肯定都包含這一項：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

　　Runyyy : xxx.exe

　　其他可能寫的項有：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

　　Run yyy : xxx.exe

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

　　RunServices yyy : xxx.exe

　　也有少數會寫下面兩項：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

　　RunOnceyyy : xxx.exe

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

　　RunOnceyyy : xxx.exe

　　此外，一些IRC病毒在2K/NT/XP下還會將自己注冊為服務啟動。

　　病毒每隔一定時間會自動嘗試連接特定的IRC服務器頻道，為黑客控制做好准備。黑客只需在聊天室中發送不同的操作指令，病毒就會在本地執行不同的操作，並將本地系統的返回信息發回聊天室，從而造成用戶信息的洩漏。這種後門控制機制是比較新穎的，即時用戶覺察到了損失，想要追查黑客也是非常困難。

　　病毒會掃描當前和相鄰網段內的機器並猜測登陸密碼。這個過程會占用大量網絡帶寬資源，容易造成局域網阻塞，國內不少企業用戶的業務均因此遭受影響。

　　出於保護被IRC病毒控制的計算機的目的，一些IRC病毒會取消匿名登陸功能和DCOM功能。取消匿名登陸可阻止其他病毒猜解密碼感染自己，而禁用DCOM功能可使系統免受利用RPC漏洞傳播的其他病毒影響。

　　二、手工清除方法

　　所有的IRC後門病毒都會在注冊表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加自己的啟動項，並且項值只有文件名，不帶路徑，這給了我們提供了追查的線索。通過下面幾步我們可以安全的清除掉IRC病毒。

　　1、打開注冊表編輯器，定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun項，找出可疑文件的項目。

　　2、打開任務管理器(按Alt+Ctrl+Del或在任務欄單擊鼠標右鍵，選擇“任務管理器”)，找到並結束與注冊表文件項相對應的進程。若進程不能結束，則可以切換到安全模式進行操作。進入安全模式的方法是：啟動計算機，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現的啟動選項菜單中，選擇“Safe Mode”或“安全模式”。

　　3、接著打開“我的電腦”，在“工具”菜單下選擇“文件夾選項”，選擇“顯示所有文件”，然後點擊“確定”。再進入系統文件夾，找出可疑文件並將它轉移或刪除，到這一步病毒就算清除了。

　　4、最後可手工把注冊表裡病毒的啟動項清除，也可使用瑞星注冊表修復工具清除。

　　三、安全建議

　　1.建立良好的安全習慣

　　不要輕易打開一些來歷不明的郵件及其附件，不要輕易登陸陌生的網站。從網上下載的文件要先查毒再運行。

　　2.關閉或刪除系統中不需要的服務

　　默認情況下，操作系統會安裝一些輔助服務，如 FTP 客戶端、Telnet 和 Web 服務器。這些服務為攻擊者提供了方便，而又對大多數用戶沒有用。刪除它們，可以大大減少被攻擊的可能性。

　　3.經常升級安全補丁

　　據統計，大部分網絡病毒都是通過系統及IE安全漏洞進行傳播的，如：沖擊波、震蕩波、SCO炸彈AC/AD等病毒。如果機器存在漏洞則很可能造成病毒反復感染，無法清除干淨。因此一定要定期登陸微軟升級網站(windowsupdate.microsoft.com)下載安裝最新的安全補丁。同時也可以使用瑞星殺毒軟件附帶的“瑞星漏洞掃描”定期對系統進行檢查。

　　4.設置復雜的密碼

　　有許多網絡病毒是通過猜測簡單密碼的方式對系統進行攻擊。因此設置復雜的密碼(大小寫字母、數字、特殊符號混合，8位以上)，將會大大提高計算機的安全系數，減少被病毒攻擊的概率。

　　5.迅速隔離受感染的計算機

　　當您的計算機發現病毒或異常情況時應立即切斷網絡連接，以防止計算機受到更嚴重的感染或破壞，或者成為傳播源感染其它計算機。

　　6.經常了解一些反病毒資訊

　　經常登陸信息安全廠商的官方主頁，了解最新的資訊。這樣您就可以及時發現新病毒並在計算機被病毒感染時能夠作出及時准確的處理。比如了解一些注冊表的知識，就可以定期查看注冊表自啟動項是否有可疑鍵值；了解一些程序進程知識，就可以查看內存中是否有可疑程序。

　　7.最好是安裝專業的防毒軟件進行全面監控

　　在病毒技術日新月異的今天，使用專業的反病毒軟件對計算機進行防護仍是保證信息安全的最佳選擇。用戶在安裝了反病毒軟件之後，一定要開啟實時監控功能並經常進行升級以防范最新的病毒，這樣才能真正保障計算機的安全。