IRC后门病毒及手动排除要领

   2004年年头，IRC后门病毒开始在全球网络大局限呈现。一方面有潜在的泄漏当地信息的危险，另一方面病毒呈此刻局域网中使网络阻塞，影响正常事情，从而造成损失。 

同时，由于病毒的源代码是果真的，任何人拿到源码后稍加修改就可编译生成一个全新的病毒，再加上差异的壳，造成IRC后门病毒变种大量涌现。尚有一些病毒每次运行后城市举办变形，给病毒查杀带来很大坚苦。本文先从技能角度先容IRC后门病毒，然后先容其手工排除要领。 

一、技能陈诉 

IRC病毒集黑客、蠕虫、后门成果于一体，通过局域网共享目次和系统裂痕举办流传。病毒自带有简朴的口令字典，用户如不配置暗码或暗码过于简朴城市使系统易受病毒影响。 

病毒运行后将本身拷贝到系统目次下(Win 2K/NT/XP操纵系统为系统盘的system32，win9x为系统盘的system)，文件属性埋没，名称不定，这里假设为xxx.exe，一般都没有图标。病毒同时写注册表启动项，项名不定，假设为yyy。病毒差异，写的启动项也不太一样，但必定都包括这一项： 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 
\Run\yyy : xxx.exe 
其他大概写的项有： 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 
\Run\ yyy : xxx.exe 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 
\RunServices\ yyy : xxx.exe 
也有少数会写下面两项： 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 
\RunOnce\yyy : xxx.exe 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 
\RunOnce\yyy : xxx.exe 
另外，一些IRC病毒在2K/NT/XP下还会将本身注册为处事启动。 

病毒每隔一按时间会自动实验毗连特定的IRC处事器频道，为黑客节制做好筹备。黑客只需在谈天室中发送差异的操纵指令，病毒就会在当地执行差异的操纵，并将当地系统的返复书息发回谈天室，从而造成用户信息的泄漏。这种后门节制机制是较量新颖的，即时用户发觉到了损失，想要追查黑客也长短常坚苦。 

病毒会扫描当前和相邻网段内的呆板并揣漂亮岸暗码。这个进程会占用大量网络带宽资源，容易造成局域网阻塞，海内不少企业用户的业务均因此蒙受影响。 

出于掩护被IRC病毒节制的计较机的目标，一些IRC病毒会打消匿名登岸成果和DCOM成果。打消匿名登岸可阻止其他病毒猜解暗码传染本身，而禁用DCOM成果可使系统免受操作RPC裂痕流传的其他病毒影响。 

二、手工排除要领 

所有的IRC后门病毒城市在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加本身的启动项，而且项值只有文件名，不带路径，这给了我们提供了追查的线索。通过下面几步我们可以安详的排除去IRC病毒。 

1、打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项，找出可疑文件的项目。 

2、打开任务打点器（按Alt+Ctrl+Del或在任务栏单击鼠标右键，选择“任务打点器”），找到并竣事与注册表文件项相对应的历程。若历程不能竣事，则可以切换到安详模式举办操纵。进入安详模式的要领是：启动计较机，在系统进入Windows启动画眼前，按下F8键(可能在启动计较机时按住Ctrl键不放)，在呈现的启动选项菜单中，选择“Safe Mode”或“安详模式”。 

3、接着打开“我的电脑”，在“东西”菜单下选择“文件夹选项”，选择“显示所有文件”，然后点击“确定”。再进入系统文件夹，找出可疑文件并将它转移或删除，到这一步病毒就算排除了。 

4、最后可手工把注册内外病毒的启动项排除，也可利用瑞星注册表修复东西排除。 

假如你发明白瑞星杀毒软件查不到的IRC病毒，也接待登岸瑞星新病毒上报网站）上传样本。 

三、安详发起 

1.成立精采的安详习惯 
不要等闲打开一些泉源不明的邮件及其附件，不要等闲登岸生疏的网站。从网上下载的文件要先查毒再运行。 

2.封锁或删除系统中不需要的处事 
默认环境下，操纵系统会安装一些帮助处事，如 FTP 客户端、Telnet 和 Web 处事器。这些处事为进攻者提供了利便，而又对大大都用户没有用。删除它们，可以大大淘汰被进攻的大概性。 

3.常常进级安详补丁 
据统计，大部门网络病毒都是通过系统及IE安详裂痕举办流传的，如：攻击波、震荡波、SCO炸弹AC/AD等病毒。假如呆板存在裂痕则很大概造成病毒重复传染，无法排除清洁。因此必然要按期登岸微软进级网站）下载安装最新的安详补丁。同时也可以利用瑞星杀毒软件附带的“瑞星裂痕扫描”按期对系统举办查抄。 

4.配置巨大的暗码 
有很多网络病毒是通过揣摩简朴暗码的方法对系统举办进攻。因此配置巨大的暗码（巨细写字母、数字、非凡标记殽杂，8位以上），将会大大提高计较机的安详系数，淘汰被病毒进攻的概率。 

5.迅速断绝受传染的计较机 
当您的计较机发明病毒或异常环境时该当即割断网络毗连，以防备计较机受到更严重的传染或粉碎，可能成为流传源传染其它计较机。 

6.常常相识一些反病毒资讯 
常常登岸信息安详厂商的官方主页，相识最新的资讯。这样您就可以实时发明新病毒并在计较机被病毒传染时可以或许作出实时精确的处理惩罚。好比相识一些注册表的常识，就可以按期查察注册表自启动项是否有可疑键值；相识一些措施历程常识，就可以查察内存中是否有可疑措施。 

7.最好是安装专业的防毒软件举办全面监控 
在病毒技能日新月异的本日，利用专业的反病毒软件对计较机举办防护仍是担保信息安详的最佳选择。用户在安装了反病毒软件之后，必然要开启及时监控成果并常常举办进级以防御最新的病毒，这样才气真正保障计较机的安详.