攻击网络计算机的IRC克隆人病毒
12月1日,瑞星全球反病毒监测网截获一个来自于国外的后门病毒,这个病毒名叫 “IRC克隆人”(Backdoor.IRC.Cloner.k),如果不及时防范,有可能在未来对我国的计算机网络造成一定的危害。
病毒类型:后门病毒
发作时间:随机
传播方式:网络
感染对象:网络
警惕程度:★★★★
一、病毒介绍:
该病毒运行时会放出5个核心病毒程序来感染系统,然后查找系统中的网络即时聊天工具mIRC,然后病毒利用这个软件的强大功能,将这个软件改造成一个功能强大的网络病毒服务器,可以实现端口扫描、邮件炸弹、Flood 攻击、UDP攻击、ICQ页面炸弹、局域网文件传染、局域网消息炸弹等多种攻击,给网络上其它的计算机造成损失。
二、病毒特性:
1、利用聊天工具传播,该病毒利用国外知名的网络即时聊天工具mIRC进行传播的后门病毒程序,此病毒运行时会利用mIRC强大的脚本功能对在线计算机进行攻击和访问控制。
2、释放多文件
此后门病毒运行时会放出5个核心病毒程序:包括adobes.exe,abc2.dll,abcd.jpg,abc.bat,ntdll.bat;还会利用系统中自带的5个程序进行破坏:包括kill.exe,psexec.exe,adobea.exe,attrib.exe,ntsys.exe。另外病毒还会产生一些相关的配置文件。
3、隐藏启动聊天工具
因为病毒是利用mIRC聊天工具的强大功能,所以病毒运行时会自动寻找mIRC软件,找到后将此工具以隐藏方式进行启动,为的是不让用户察觉,病毒还会修改注册表进行自启动。
4、实施多种攻击
病毒一旦启动mIRC聊天工具,便把mirc变成“功能强大”的网络服务器,可以实现端口扫描,文件服务器,邮件炸弹,Flood 攻击,UDP攻击,ICQ页面炸弹,局域网文件传染,局域网消息炸弹等多种攻击方式,这样,当前感染病毒并且有mIRC软件的计算机将会变成一个无恶不作的攻击服务器,对网络上的其它计算机进行攻击。
5、自动连接系统、上载病毒文件
此病毒还会对一些指定的计算机系统进行连接,如果连接成功,还会将shell32core.exe文件拷贝到目标计算机上,然后启动此文件,对目标计算机造成危害,而且此病毒还会建立一些配置文件来记录扫描信息, 以提高病毒扫描效率。
三、病毒的发现与清除:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒。
1、病毒运行时会放出5个核心病毒程序: adobes.exe,abc2.dll,abcd.jpg,abc.bat,ntdll.bat到系统目录下。
2、如果计算机中存在有mIRC软件,则将该软件运行后并隐藏窗口,这时可以通过一些进程查看工具或用系统中自带的任务管理器来查看是否启动了mIRC工具。
3、病毒会对一些指定的计算机系统进行连接,如果连接成功,还会将shell32core.exe文件拷贝到目标计算机上,所以可以查看计算机中是否存在该文件。
4、病毒运行时会实现端口扫描,文件服务器,邮件炸弹,Flood 攻击,UDP攻击,ICQ页面炸弹,局域网文件传染,局域网消息炸弹等多种攻击方式,有经验的网管可以根据这些特征来判断病毒的存在。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“IRC克隆人(Backdoor.IRC.Cloner.k)”病毒,用户可以将病毒产生的文件直接删除,但要想完全消除病毒的影响,最好还是用瑞星杀毒软件2003版的最新版本进行彻底清除。
为避免用户遭受损失,瑞星公司已截获此病毒并进行了紧急升级,瑞星杀毒软件15.11.01及以上的版本可以自动截获并清除此病毒,望广大用户及时升级。目前瑞星用户只需及时升级手中的软件即可彻底拦截“IRC克隆人(Backdoor.IRC.Cloner.k)”病毒。
如遇到异常情况,可随时拨打瑞星反病毒急救电话:010-86243236或登陆瑞星反病毒网http://www.rising.com.cn,瑞星反病毒专家将为您提供全方位的技术支持与服务!