IRC后门病毒及手动清除方法

   2004年年初，IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险，另一方面病毒出现在局域网中使网络阻塞，影响正常工作，从而造成损失。 

同时，由于病毒的源代码是公开的，任何人拿到源码后稍加修改就可编译生成一个全新的病毒，再加上不同的壳，造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形，给病毒查杀带来很大困难。本文先从技术角度介绍IRC后门病毒，然后介绍其手工清除方法。 

一、技术报告 

IRC病毒集黑客、蠕虫、后门功能于一体，通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典，用户如不设置密码或密码过于简单都会使系统易受病毒影响。 

病毒运行后将自己拷贝到系统目录下(Win 2K/NT/XP操作系统为系统盘的system32，win9x为系统盘的system)，文件属性隐藏，名称不定，这里假设为xxx.exe，一般都没有图标。病毒同时写注册表启动项，项名不定，假设为yyy。病毒不同，写的启动项也不太一样，但肯定都包含这一项： 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 
\Run\yyy : xxx.exe 
其他可能写的项有： 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 
\Run\ yyy : xxx.exe 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 
\RunServices\ yyy : xxx.exe 
也有少数会写下面两项： 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 
\RunOnce\yyy : xxx.exe 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 
\RunOnce\yyy : xxx.exe 
此外，一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。 

病毒每隔一定时间会自动尝试连接特定的IRC服务器频道，为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令，病毒就会在本地执行不同的操作，并将本地系统的返回信息发回聊天室，从而造成用户信息的泄漏。这种后门控制机制是比较新颖的，即时用户觉察到了损失，想要追查黑客也是非常困难。 

病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量网络带宽资源，容易造成局域网阻塞，国内不少企业用户的业务均因此遭受影响。 

出于保护被IRC病毒控制的计算机的目的，一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己，而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。 

二、手工清除方法 

所有的IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的启动项，并且项值只有文件名，不带路径，这给了我们提供了追查的线索。通过下面几步我们可以安全的清除掉IRC病毒。