[转帖]警惕IRC后门Backdoor.Win32.IRCbot.ace...

转帖:警惕IRC后门Backdoor.Win32.IRCbot.ace
 
　　Backdoor.Win32.IRCbot.ace病毒运行后，衍生病毒文件到系统目录下，添加注册表自动运行项以跟随系统引导病毒体。病毒体从指定服务器下载病毒体到本机运行，连接 IRC 服务器等待接收指令。枚举本地网络地址，对目的地址 135 端口进行扫描予以溢出。此病毒可通过网络共享、弱口令传播。

清除方案：
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1)使用安天木马防线断开网络，结束病毒进程。 　　　　　　
　 　 (2)删除病毒衍生文件：
　　　　　　删除 %system32% 文件夹下的以下列表中的文件：
　　　　　　winamp.exe
　　　　　　winIogon.exe
　　　　　　firewall.exe
　　　　　　spooIsv.exe
　　　　　　spoolsvc.exe
　　　　　　Isass.exe
　　　　　　lssas.exe
　　　　　　algs.exe
　　　　　　logon.exe
　　　　　　iexplore.exe
　　　　　　csrs.exe
　 　 (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run
　　　　　　键值：字串： "Windows Logon Application"=
　　　　　　"C:\WINDOWS\System32\( 病毒名 )"

相关链接请参见：http://antiy.com/security/report/20070621.htm