近来有用户向我们反映,系统感染了Win32/IRCBot.worm.64512.P的病毒,而不知道如何处理,我们的编辑搜集了相关的资料,希望能够对大家有所帮助。
Win32/IRCBot.worm.64512.P仍然是Win32/IRCBot.worm 蠕虫的变种之一。该蠕虫试图利用Windows的漏洞和SQL数据库中SA用户设置的密码过于简单的漏洞来传播。运行该程序会在Windows系统目录下生成wipv6.exe(64,512 bytes)和msdirectx.sys(6,656 bytes)文件。打开任意的TCP端口并试图从特定IRC服务器连接并以以管理者(Operator)的身份执行恶意控制。
中毒后的症状可以如下:
运行后显示如下症状:
在Window 系统目录下生成如下文件:
C:\Windows 系统目录\wipv6.exe (64,512 bytes)
C:\Windows 系统目录\msdirectx.sys (6,656 bytes)
注意:windows系统文件夹的类型以版本不同有差异。在Windows 95/98/Me 下C:\Windows\System, windows NT/2000, C:\WinNT\System32,windows XP是C:\Windows\System32 文件夹。
更改注册表当系统启动时自动运行:
HKEY_CURRENT_USER\Software\Microsoft\OLE
Windows IPv6 Drivers = wipv6.exe
HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Run
Windows IPv6 Drivers = wipv6.exe
HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\RunServices
Windows IPv6 Drivers = wipv6.exe
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
Windows IPv6 Drivers = wipv6.exe
HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\Ole
Windows IPv6 Drivers = wipv6.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows IPv6 Drivers = wipv6.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows IPv6 Drivers = wipv6.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa
Windows IPv6 Drivers = wipv6.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Windows IPv6 Drivers = wipv6.exe
HKEY_USERS\用户账户的 S-id 值\Software\Microsoft\OLE
Windows IPv6 Drivers = wipv6.exe
HKEY_USERS\用户账户的 S-id 值\Software\Microsoft\Windows\CurrentVersion\Run
Windows IPv6 Drivers = wipv6.exe
HKEY_USERS\用户账户的 S-id 值\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows IPv6 Drivers = wipv6.exe
HKEY_USERS\用户账户的 S-id 值\SYSTEM\CurrentControlSet\Control\Lsa
Windows IPv6 Drivers = wipv6.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdirectx
ImagePath = \??\C:\Windows 系统目录\msdirectx.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx
ImagePath = \??\C:\Windows 系统目录\msdirectx.sys
一般可运行的恶性功能如下
运行文件以及删除 (运行其它蠕虫, 病毒)
下载文件以及装入(盗取机密文件)
强制结束特定进程
确认系统信息 (泄露用户信息)
搜索网路
强制解除共享文件夹
强制结束系统的 DCOM 服务
MS-SQL 数据库中运行 xp_cmdshell 进程
解决方案:安博士相关内容(点击链接)
相关下载:
Win32/IRCBot.worm专杀工具
安博士最新病毒库Win32/IRCBot.worm 2004.11.15
另外以下是曾经出现过的Win32/IRCBot.worm的一些变种,如果出现以下症状的用户可以到相关的网址去找到解决方案。
Win32/IRCBot.worm.108032.I
Win32/IRCBot.worm.159744
Win32/IRCBot.worm.103832
Win32/IRCBot.worm.108544.L
[返回] 计算机科学论坛 →
休息区 → 『 灌水天堂 』 → Win32/IRCBot.worm系列病毒变种及防治
(订阅本版)
2005/10/7 18:40:00
新浪微博
Win32/IRCBot.worm系列病毒变种及防治
