病毒名称:
Irc-Smallfeg
类别: 特洛伊木马
病毒资料:
长度:44,032字节(生成文件)19,168字节(服务器组件)
病毒简介:
用户最常遇见的便是此木马的生成文件ModemSpeedEnhancer.Exe,当在NT/2000系统上运行时,此生成文件会创建%WINDIR%CACHE文件夹,且在该文件夹下生成SVCHOST.EXE文件,随后该文件便作为一个进程开始运行。一旦进程运行,会在%WINDIR%CACHE文件夹下生成文件JUPE.DLL,该文件含有一此加密数据(大约50个字节),可能是关于中毒机器的信息。之后,该木马便尝试连接22台各种远程服务器的6667端口。例如:
graz2.at.eu.undernet.org
haarlem.nl.eu.undernet.org
London.uk.eu.undernet.org
若连接成功,此木马会试图在IRC网络中加入一特殊频道,其绰号可能是保存在SVCHOST.EXE文件中的两个词组成,如gold, plat, fat, bomb, hehe, goal。同时在SVCHOST.EXE文件中会出现许多控制客户端的命令,如‘.HALO‘, ‘.INFO‘, ‘.PACKET‘, ‘.RAW‘, ‘.QUIT‘, ‘.REHASH‘, ‘.KILL‘, ‘.NICK‘, ‘.JUPESTAT‘, ‘.JUPE‘, ‘.DOWNLOAD‘, ‘.PROGRESS‘ and ‘.SHELL‘。
当在Win9x系统上运行时,ModemSpeedEnhancer.Exe文件不会产生什么危害,也不会创建服务器组件。
中毒迹象:
会在机器上出现如下文件:
%WINDIR%CACHESVCHOST.EXE (19,968 字节)
%WINDIR%CACHEJUPE.DLL (约52 字节)
感染方式:
通过ModemSpeedEnhancer.EXE(44,032字节)文件的执行来进行传染。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
发现日期:
2002-2-7
