病毒描述:
该蠕虫病毒是一个基于irc聊天室的蠕虫,它具有irc聊天服务器功能,通过扫描网上的弱密码传播。
传播机理:
该病毒的传播机理比较简单,是通过一个批处理命令来实现的。
文件的内容如下:
从这个批处理文件我们可以很清楚的看出病毒传播的过程,它首先使用系统自带net use命令去测试空口令和弱口令账号的连接,一旦成功便是用psexec命令将fonts.exe文件考到对方的机器上运行。Fonts.exe为一个病毒的打包程序。运行该程序会在 %admin%/fonts/目录下生成一系列文件包括:
adobea.exe (mirc的主程序)
adobes.exe (病毒启动文件)
attrib.exe (修改文件属性程序)
b.exe (隐藏进程文件)
kill.exe (远程杀进程软件)
psexec.exe (远程执行软件)
xdcc.exe (未完成的功能的)
abc.bat (病毒传播的批处理文件)
abc.dll
abc2.dll
moo.dll (以上三个都为adobea启动时需要的动态库文件)
病毒程序执行后会在注册表里添加如下的键值,以便在下次启动时能正常运行:
//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run
键值:AdobeA %admin%\fonts\adobes.exe
病毒危害:
adobea.exe为一个修改过的irc聊天服务程序,它会在后台偷偷的运行,并将本地的信息发往国外的IRC服务器,通过IRC的脚本执行功能,入侵者可以通过其他的IRC服务器来控制被感染的机器使之成为一个功能强大的服务器(功能包括文件传输,网络扫描,DOS攻击等多项功能)
检测方法:
1)察看系统目录中FONTS目录下是否有病毒的相关文件,WINDOWS默认设置下在FONTS目录下只能看到字体文件,我们可以通过在命令行状态下使用DIR 命令察看。
[责任编辑:cndownzcom]
2)察看注册表中的相关键值,看是否有上面所提的%admin%\fonts\adobes.exe键值3)使用NETSTAT –AN命令察看是否有目标端口为6667的连接
清除方法:
手动清除方法
1)使用进程管理功能,杀掉ADOBEA.EXE进程
2)到注册表中的
//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run
项中删除键值:AdobeA %admin%
\fonts\adobes.exe
3)清除FONTS目录下的所有蠕虫生成的文件
4)重新启动机器
相关的杀毒软件升级到最新的病毒库均能查杀次病毒
[责任编辑:cndownzcom]
【中国QQ站】【设为主页】【收藏本页】【打印本文】【回到顶部】【关闭此页】
您现在的位置:
减小字体
增大字体