病毒名称:
Backdoor.IRC.Cloner.k
类别: 后门病毒
病毒资料:
Backdoor.IRC.Cloner.k是依托于mIRC程序,利用mIRC强大的脚本功能进行攻击和访问控制的后门程序。整个后门程序由多个部分组成:
1 病毒利用程序。包括kill.exe,psexec.exe,adobea.exe,attrib.exe,ntsys.exe。
2 病毒核心程序。包括adobes.exe,abc2.dll,abcd.jpg,abc.bat,ntdll.bat。
3 其他病毒生成文件和相关配置文件。
一 病毒利用程序
kill.exe (以进程号做参数结束进程的工具)
psexec.exe (远程进程序启动工具)
adobea.exe (mIRC主程序)
attrib.exe (设置文件属性的程序)
ntsys.exe (隐藏窗口的程序)
二 病毒核心程序
adobes.exe(隐藏程序)(病毒名称是Backdoor.mIRC-based)
为一个Visual Basic编写的程序,该程序的作用为启动adobea.exe(即mirc程序)并把该程序的窗口设成隐藏。以便让mirc程序启动时不被用户发觉。该程序被加入到注册表run项中,系统启动时自动加载(加入注册表的部分在病毒脚本中)。
abc2.dll (配置文件)
mirc的配置文件,这个配置文件为病毒作者设计的,主要是把mirc的window等设成隐藏方式。并设一个执行脚本:文件名为abcd.jpg。
abcd.jpg(服务器脚本) ***后门实体*** (病毒名称是Backdoor.IRC.Cloner.k)
病毒的主体部分,该脚本实现的功能非常之多,它把mirc变成“功能强大”的服务器,可以实现端口扫描,文件服务器,邮件炸弹,Flood 攻击,UDP攻击,ICQ页面炸弹,局域网文件传染,局域网消息炸弹等多种攻击方式,把当前系统变成一个攻击服务器。
abc.bat (功能脚本) (可作传染部分) (病毒名称是Backdoor.IRC.Cloner.k.bat)
尝试利用ipc通讯和指定系统连接。这里将尝试几个简单的密码连接。如果连接成功,将把shell32core.exe 复制到目标系统上并启动它。
ntdll.bat (功能脚本)
删除本地系统的所有共享资源。
三 其他病毒生成文件和相关配置文件
病毒根据扫描结果会生成一些配置文件来记录扫描结构信息。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2002-12-1