Backdoor.Win32.IRCBot.aaq后门分析

病毒名称:back door . win32 . ircbot . aaq
病毒类型:后门

MD5:383 fa 31 BC 56113 db 9 F5 b 7527 a6 d0d

文件长度:18，944字节

感染:windows98或以上版本

开发工具:微软Visual C++ 6.0

贝壳类型:UPX 0.89.6-1.02/1.05-1.24

病毒描述:

这种病毒属于后一类。病毒运行后，将病毒文件导出到系统目录中，关闭当前任务管理器中所有可以关注的进程，将导出的DLL文件插入到系统的正常进程Explorer.exe中，通过rdshost.dll连接到指定的IRC通道，接受控制器的远程控制。修改注册表，添加启动项，达到随机启动的目的。病毒通过MSN传播，它会检查用户是否打开MSN。如果有，他们会自动给MSN里的好友发消息，并把病毒衍生的文件photo album.zip作为附件发送。

行为分析:

1.病毒运行后，将病毒文件导出到系统目录:

% WINDIR % \ photo album . zip % system32 % \ rds host . dll

2。关闭当前任务管理器中可以关闭的所有进程。

3.将病毒衍生文件rdshost.dll插入系统正常进程Explorer.exe，通过rdshost.dll连接到指定的IRC通道，接受控制器的远程控制。

4.修改注册表，添加启动项，达到随机启动的目的:

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ ShellServiceObjectDelayLoad键值:string:" rds host " = " { xxxxxxxx-xxxx-xxxxxxxxxxxxxxx } " HKEY _ classes _ root \ CLSID \ { xxxxxxxx-xxxx-xxxxxxxxxxxx } \ inprocserver 32键值:string: "@"="rdshost.dll "注:{ xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxx }是一个可变字符串。

5。当病毒通过MSN传播时，它会检查用户是否打开了MSN，如果打开了，它会自动向用户MSN中的好友发送消息，并将病毒衍生的文件photo album.zip作为附件发送:

自动向MSN好友发送消息:

引用:嘿，哈哈，我做了一个新的相册！:)其次，我会找到文件并发送给你。嘿，想看看我的新相册吗？嘿，接受我的相册，我和我的朋友们的新照片，还有我年轻时的照片，哈哈...嘿，刚刚完成新的相册！:)可能是几张裸体画；)lol...嘿，你有相册吗？不管怎样，这是我的新相册:)接受k？嘿，伙计，接受我的新相册吧..:(为你做的，一直在做我生活的图片故事，哈哈..

并将病毒衍生文件photo album.zip作为附件发送。6.控制器使用IRC通信信道远程控制中毒计算机:

连接的IRC频道:darkjester.xplosionirc.net

IP地址:89.159.185.142

标准IRC控制命令:

NICK[% s][% iH]%s\n lol lol lol:shadow bot用户% s \ n #测试加入% s \ n % s PING:PING:PONG:% s \ n 404加入% s \ n #测试加入% s \ n KICK #测试加入% s \ n特权通知

注意:

%Windir% WINDODWS目录

%DriveLetter%逻辑驱动器根目录

%ProgramFiles%系统程序的默认安装目录

%HomeDrive%当前启动系统所在的分区。

%文档和设置%当前用户的文档根目录

%Temp%当前用户临时缓存变量；路径是:

%文档和设置%\当前用户\本地设置\临时

%System32%是一个变量路径；

该病毒通过查询操作系统来确定当前System32文件夹的位置；

Windows2000/NT中的默认安装路径是C:\ win NT \ system32；

Windows95/98/Me中的默认安装路径是C:\ windows \ system；

Windows中的默认安装路径是C: \ Windows \ system32。

清除方案:

1.使用安田木马防线可以彻底清除此病毒(推荐)。请从www.antiy.com安田网站下载。

2.手动清理。请根据行为分析删除相应文件，并恢复相关系统设置。建议使用ATool(安田安全管理工具)。ATool的下载地址是www.antiy.com或者http://www.antiy.com/download/index.htm.

(1)使用安田木马防御或ATool中的“进程管理”关闭病毒进程。

(2)强行删除病毒文件

%WINDIR%\photo album.zip

%system32%\rdshost.dll

(3)恢复被病毒修改的注册表项，删除被病毒添加的注册表项。

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ ShellServiceObjectDelayLoad

键值:string:" rds host " = " { xxxxxxxx-xxxx-xxxx-xxxxxxxx } "

HKEY _类_根\ CLSID \ { XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX } \ in proc server 32

键值:字符串:" @"="rdshost.dll "

注意:{xxxxxxxx-xxxx-xxxx-xxxxxxxx}是一个可变字符串。