Backdoor.IRC.Cloner.k

病毒名称:

Backdoor.IRC.Cloner.k

类别： 后门病毒

病毒资料：

Backdoor.IRC.Cloner.k是依托于mIRC程序，利用mIRC强大的脚本功能进行攻击和访问控制的后门程序。整个后门程序由多个部分组成：

1 病毒利用程序。包括kill.exe，psexec.exe，adobea.exe，attrib.exe，ntsys.exe。

2 病毒核心程序。包括adobes.exe，abc2.dll，abcd.jpg，abc.bat，ntdll.bat。

3 其他病毒生成文件和相关配置文件。

一 病毒利用程序

kill.exe (以进程号做参数结束进程的工具)

psexec.exe (远程进程序启动工具)

adobea.exe (mIRC主程序)

attrib.exe (设置文件属性的程序)

ntsys.exe (隐藏窗口的程序)

二 病毒核心程序

adobes.exe(隐藏程序)(病毒名称是Backdoor.mIRC-based)

为一个Visual Basic编写的程序,该程序的作用为启动adobea.exe（即mirc程序）并把该程序的窗口设成隐藏。以便让mirc程序启动时不被用户发觉。该程序被加入到注册表run项中，系统启动时自动加载(加入注册表的部分在病毒脚本中)。

abc2.dll (配置文件)

mirc的配置文件，这个配置文件为病毒作者设计的，主要是把mirc的window等设成隐藏方式。并设一个执行脚本：文件名为abcd.jpg。

abcd.jpg(服务器脚本) ***后门实体*** (病毒名称是Backdoor.IRC.Cloner.k)

病毒的主体部分，该脚本实现的功能非常之多，它把mirc变成“功能强大”的服务器,可以实现端口扫描，文件服务器，邮件炸弹，Flood 攻击，UDP攻击，ICQ页面炸弹，局域网文件传染，局域网消息炸弹等多种攻击方式，把当前系统变成一个攻击服务器。

abc.bat (功能脚本) (可作传染部分) (病毒名称是Backdoor.IRC.Cloner.k.bat)

尝试利用ipc通讯和指定系统连接。这里将尝试几个简单的密码连接。如果连接成功，将把shell32core.exe 复制到目标系统上并启动它。

ntdll.bat (功能脚本)

删除本地系统的所有共享资源。

三 其他病毒生成文件和相关配置文件

病毒根据扫描结果会生成一些配置文件来记录扫描结构信息。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2002-12-1