Win32.Hack.IRCBot.ir

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

黑客程序

病毒长度:

75776

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个黑客后门程序,病毒运行后会关闭Windows的一些安全服务,连接远程IRC服务器,使用户受控于黑客。

1、病毒运行后复制自身到%system%\lviss.exe,并运行,退出原病毒进程并删除文件。

2、修改注册表,添加名为WindowsPEDebugger的服务,并设置其为开机自动启动。

3、创建如下注册表项及其子键,并将其驱动程序指向病毒刚刚创建的服务:

HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_PE_DEBUGGER

4、修改如下注册表项,关闭及禁用Windows防火墙,关闭自动更新禁止安装sp2补丁,并禁用以下系统服务SecurityCenter、Telnet、RemoteRegistry、Messenger,禁止匿名枚举用户、关闭系统默认共享:

[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

"EnableFirewall"=0x0

[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

"EnableFirewall"=0x0

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\AutoUpdate]

"AUOptions"=0x1

[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]

"Start"=0x4

[HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]

"Start"=0x4

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry

"Start"=0x4

[HKLM\SYSTEM\CurrentControlSet\Services\Messenger]

"Start"=0x4

[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]

"restrictanonymous"=0x1

[HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareWks"=0x0

[HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]

"AutoShareServer"=0x0

[HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

"DoNotAllowXPSP2"=0x1

5、从网络上下载病毒文件到如下目录:

C:\DocumentsandSettings\LocalService\LocalSettings\TemporaryInternetFiles\Content.IE5\4LWVMRUT\a17[1].exe

C:\WINDOWS\TEMP\eraseme_25413.exe

6、连接远程IRC服务器的6667端口,等待黑客命令。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航