主頁 > 知識(shí)庫 > IRC后門病毒及手動(dòng)清除方法

IRC后門病毒及手動(dòng)清除方法

熱門標(biāo)簽:激戰(zhàn)黃昏地圖標(biāo)注說明 怎么更改地圖標(biāo)注電話 防城港市ai電銷機(jī)器人 寧夏保險(xiǎn)智能外呼系統(tǒng)哪家好 溫嶺代理外呼系統(tǒng) 臨滄移動(dòng)外呼系統(tǒng)哪家有 不同的地圖標(biāo)注 交行外呼系統(tǒng)有哪些 隨州銷售外呼系統(tǒng)平臺(tái)
   2004年年初,IRC后門病毒開始在全球網(wǎng)絡(luò)大規(guī)模出現(xiàn)。一方面有潛在的泄漏本地信息的危險(xiǎn),另一方面病毒出現(xiàn)在局域網(wǎng)中使網(wǎng)絡(luò)阻塞,影響正常工作,從而造成損失。 

同時(shí),由于病毒的源代碼是公開的,任何人拿到源碼后稍加修改就可編譯生成一個(gè)全新的病毒,再加上不同的殼,造成IRC后門病毒變種大量涌現(xiàn)。還有一些病毒每次運(yùn)行后都會(huì)進(jìn)行變形,給病毒查殺帶來很大困難。本文先從技術(shù)角度介紹IRC后門病毒,然后介紹其手工清除方法。 

一、技術(shù)報(bào)告 

IRC病毒集黑客、蠕蟲、后門功能于一體,通過局域網(wǎng)共享目錄和系統(tǒng)漏洞進(jìn)行傳播。病毒自帶有簡(jiǎn)單的口令字典,用戶如不設(shè)置密碼或密碼過于簡(jiǎn)單都會(huì)使系統(tǒng)易受病毒影響。 

病毒運(yùn)行后將自己拷貝到系統(tǒng)目錄下(Win 2K/NT/XP操作系統(tǒng)為系統(tǒng)盤的system32,win9x為系統(tǒng)盤的system),文件屬性隱藏,名稱不定,這里假設(shè)為xxx.exe,一般都沒有圖標(biāo)。病毒同時(shí)寫注冊(cè)表啟動(dòng)項(xiàng),項(xiàng)名不定,假設(shè)為yyy。病毒不同,寫的啟動(dòng)項(xiàng)也不太一樣,但肯定都包含這一項(xiàng): 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 
\Run\yyy : xxx.exe 
其他可能寫的項(xiàng)有: 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 
\Run\&;yyy : xxx.exe 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 
\RunServices\&;yyy : xxx.exe 
也有少數(shù)會(huì)寫下面兩項(xiàng): 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 
\RunOnce\yyy : xxx.exe 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 
\RunOnce\yyy : xxx.exe 
此外,一些IRC病毒在2K/NT/XP下還會(huì)將自己注冊(cè)為服務(wù)啟動(dòng)。 

病毒每隔一定時(shí)間會(huì)自動(dòng)嘗試連接特定的IRC服務(wù)器頻道,為黑客控制做好準(zhǔn)備。黑客只需在聊天室中發(fā)送不同的操作指令,病毒就會(huì)在本地執(zhí)行不同的操作,并將本地系統(tǒng)的返回信息發(fā)回聊天室,從而造成用戶信息的泄漏。這種后門控制機(jī)制是比較新穎的,即時(shí)用戶覺察到了損失,想要追查黑客也是非常困難。 

病毒會(huì)掃描當(dāng)前和相鄰網(wǎng)段內(nèi)的機(jī)器并猜測(cè)登陸密碼。這個(gè)過程會(huì)占用大量網(wǎng)絡(luò)帶寬資源,容易造成局域網(wǎng)阻塞,國(guó)內(nèi)不少企業(yè)用戶的業(yè)務(wù)均因此遭受影響。 

出于保護(hù)被IRC病毒控制的計(jì)算機(jī)的目的,一些IRC病毒會(huì)取消匿名登陸功能和DCOM功能。取消匿名登陸可阻止其他病毒猜解密碼感染自己,而禁用DCOM功能可使系統(tǒng)免受利用RPC漏洞傳播的其他病毒影響。 

二、手工清除方法 

所有的IRC后門病毒都會(huì)在注冊(cè)表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的啟動(dòng)項(xiàng),并且項(xiàng)值只有文件名,不帶路徑,這給了我們提供了追查的線索。通過下面幾步我們可以安全的清除掉IRC病毒。 

1、打開注冊(cè)表編輯器,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項(xiàng),找出可疑文件的項(xiàng)目。 

2、打開任務(wù)管理器(按Alt+Ctrl+Del或在任務(wù)欄單擊鼠標(biāo)右鍵,選擇“任務(wù)管理器”),找到并結(jié)束與注冊(cè)表文件項(xiàng)相對(duì)應(yīng)的進(jìn)程。若進(jìn)程不能結(jié)束,則可以切換到安全模式進(jìn)行操作。進(jìn)入安全模式的方法是:?jiǎn)?dòng)計(jì)算機(jī),在系統(tǒng)進(jìn)入Windows啟動(dòng)畫面前,按下F8鍵(或者在啟動(dòng)計(jì)算機(jī)時(shí)按住Ctrl鍵不放),在出現(xiàn)的啟動(dòng)選項(xiàng)菜單中,選擇“Safe Mode”或“安全模式”。 

3、接著打開“我的電腦”,在“工具”菜單下選擇“文件夾選項(xiàng)”,選擇“顯示所有文件”,然后點(diǎn)擊“確定”。再進(jìn)入系統(tǒng)文件夾,找出可疑文件并將它轉(zhuǎn)移或刪除,到這一步病毒就算清除了。 

4、最后可手工把注冊(cè)表里病毒的啟動(dòng)項(xiàng)清除,也可使用瑞星注冊(cè)表修復(fù)工具清除。 

如果你發(fā)現(xiàn)了瑞星殺毒軟件查不到的IRC病毒,也歡迎登陸瑞星新病毒上報(bào)網(wǎng)站http://up.rising.com.cn)上傳樣本。 

三、安全建議 

1.建立良好的安全習(xí)慣 
不要輕易打開一些來歷不明的郵件及其附件,不要輕易登陸陌生的網(wǎng)站。從網(wǎng)上下載的文件要先查毒再運(yùn)行。 

2.關(guān)閉或刪除系統(tǒng)中不需要的服務(wù) 
默認(rèn)情況下,操作系統(tǒng)會(huì)安裝一些輔助服務(wù),如 FTP 客戶端、Telnet 和 Web 服務(wù)器。這些服務(wù)為攻擊者提供了方便,而又對(duì)大多數(shù)用戶沒有用。刪除它們,可以大大減少被攻擊的可能性。 

3.經(jīng)常升級(jí)安全補(bǔ)丁 
據(jù)統(tǒng)計(jì),大部分網(wǎng)絡(luò)病毒都是通過系統(tǒng)及IE安全漏洞進(jìn)行傳播的,如:沖擊波、震蕩波、SCO炸彈AC/AD等病毒。如果機(jī)器存在漏洞則很可能造成病毒反復(fù)感染,無法清除干凈。因此一定要定期登陸微軟升級(jí)網(wǎng)站http://windowsupdate.microsoft.com)下載安裝最新的安全補(bǔ)丁。同時(shí)也可以使用瑞星殺毒軟件附帶的“瑞星漏洞掃描”定期對(duì)系統(tǒng)進(jìn)行檢查。 

4.設(shè)置復(fù)雜的密碼 
有許多網(wǎng)絡(luò)病毒是通過猜測(cè)簡(jiǎn)單密碼的方式對(duì)系統(tǒng)進(jìn)行攻擊。因此設(shè)置復(fù)雜的密碼(大小寫字母、數(shù)字、特殊符號(hào)混合,8位以上),將會(huì)大大提高計(jì)算機(jī)的安全系數(shù),減少被病毒攻擊的概率。 

5.迅速隔離受感染的計(jì)算機(jī) 
當(dāng)您的計(jì)算機(jī)發(fā)現(xiàn)病毒或異常情況時(shí)應(yīng)立即切斷網(wǎng)絡(luò)連接,以防止計(jì)算機(jī)受到更嚴(yán)重的感染或破壞,或者成為傳播源感染其它計(jì)算機(jī)。 

6.經(jīng)常了解一些反病毒資訊 
經(jīng)常登陸信息安全廠商的官方主頁,了解最新的資訊。這樣您就可以及時(shí)發(fā)現(xiàn)新病毒并在計(jì)算機(jī)被病毒感染時(shí)能夠作出及時(shí)準(zhǔn)確的處理。比如了解一些注冊(cè)表的知識(shí),就可以定期查看注冊(cè)表自啟動(dòng)項(xiàng)是否有可疑鍵值;了解一些程序進(jìn)程知識(shí),就可以查看內(nèi)存中是否有可疑程序。 

7.最好是安裝專業(yè)的防毒軟件進(jìn)行全面監(jiān)控 
在病毒技術(shù)日新月異的今天,使用專業(yè)的反病毒軟件對(duì)計(jì)算機(jī)進(jìn)行防護(hù)仍是保證信息安全的最佳選擇。用戶在安裝了反病毒軟件之后,一定要開啟實(shí)時(shí)監(jiān)控功能并經(jīng)常進(jìn)行升級(jí)以防范最新的病毒,這樣才能真正保障計(jì)算機(jī)的安全.

標(biāo)簽:河源 紅河 忻州 沈陽 無錫 青海 阜陽 哈密

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《IRC后門病毒及手動(dòng)清除方法》,本文關(guān)鍵詞  IRC,后門,病毒,及,手動(dòng),清除,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《IRC后門病毒及手動(dòng)清除方法》相關(guān)的同類信息!
  • 本頁收集關(guān)于IRC后門病毒及手動(dòng)清除方法的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章