病毒名称:
Backdoor.IRCBot.ay
类别: 后门病毒
病毒资料:
破坏方法:
IRC后门程序
病毒运行后将自己复制到%SYSDIR%目录下,文件名为"mscidaemon.exe"、"mscidaemon.com"。释放动态库文件"mscidaemon.dll",并将其装载运行。
增加以下注册表键以达到其自启动的目的:
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\InstalledComponents
\{L9IW2QB23-CD-EDF-2-22d2-9CBD-00WSFS8AR6-9QER21QAJPM}
试图利用自身附带的简单密码字典猜测网络中其它主机的用户名及密码,如果猜测成功病毒将登录该主机,并将自己复制到该主机的以下目录:
C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup\mscidaemon.com
C:\WINDOWS\Start Menu\Programs\Startup
\mscidaemon.com
C:\WINDOWS\All Users\Start Menu\Programs\Startup\mscidaemon.com
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
\mscidaemon.com
另外,病毒枚举网络中可写的共享目录并将自己复制到这些目录下。
以特定的昵称登录指定的IRC频道,为其控制端提供远程控制服务。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-10-19