病毒名称:
Backdoor.IRCBot.er
类别: 后门病毒
病毒资料:
破坏方法:
一个基于Irc的后门病毒.
病毒行为:
病毒运行后将自己复制到%system%目录文件名为:svh0st.exe并在注册表
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
及
SOFTWARE\Microsoft\Windows\CurrentVersion
\RunServices 中加入自己的键值:
"Microsoft Synchronization Manager"
=%system%\svh0st.exe以达到自启动目的.
随后病毒驻留内存,并实现以下功能:
1.清除黑名单进程.
病毒不断遍历系统进程列表,当发现和体内黑名单中进程名相符的,病毒将结束该进程.
2.局域网传播:
病毒对局域网内的其它系统进行ipc联接,病毒将尝试使用自身带的字典对目标系统的管理员账号进行密码试探,一但成功,病毒将自己复制过去,以达到传播的目的.
(病毒的密码字典)
xxxxxxxxx
guessme
youwontguessme
uwontguessme
scriptkiddie
0wn3d
satan
mypass123
net-devil
111111
godblessyou
ihavenopass
11111111
111
54321
123456789
temp123
Access
Owner
SHARE
PASSWord
....
3.irc后门
病毒以特定的昵称,登录到特定的IRC频道上,以方便病毒作者对其进行控制..
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-7