Win32.Hack.IRCBot.ir

病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 黑客程序 病毒長度: 75776 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個黑客後門程序，病毒運行後會關閉Windows的一些安全服務，連接遠程IRC服務器，使用戶受控于黑客。 1、病毒運行後複制自身到%system%\lviss.exe,並運行，退出原病毒進程並刪除文件。 2、修改注冊表，添加名爲WindowsPEDebugger的服務，並設置其爲開機自動啓動。 3、創建如下注冊表項及其子鍵，並將其驅動程序指向病毒剛剛創建的服務： HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_PE_DEBUGGER 4、修改如下注冊表項，關閉及禁用Windows防火牆,關閉自動更新禁止安裝sp2補丁,並禁用以下系統服務SecurityCenter、Telnet、RemoteRegistry、Messenger，禁止匿名枚舉用戶、關閉系統默認共享： [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile] "EnableFirewall"=0x0 [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile] "EnableFirewall"=0x0 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\AutoUpdate] "AUOptions"=0x1 [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=0x4 [HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr] "Start"=0x4 HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry "Start"=0x4 [HKLM\SYSTEM\CurrentControlSet\Services\Messenger] "Start"=0x4 [HKLM\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=0x1 [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareWks"=0x0 [HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters] "AutoShareServer"=0x0 [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "DoNotAllowXPSP2"=0x1 5、從網絡上下載病毒文件到如下目錄： C:\DocumentsandSettings\LocalService\LocalSettings\TemporaryInternetFiles\Content.IE5\4LWVMRUT\a17[1].exe C:\WINDOWS\TEMP\eraseme_25413.exe 6、連接遠程IRC服務器的6667端口，等待黑客命令。