Backdoor.Win32.IRCBot.et

Backdoor.Win32.IRCBot.et，电脑病毒的一种，该病毒属后门类，病毒主要通过微软漏洞ms05-039进行传播。病毒运行后在系统文件夹下新建%usrnt%windrg32.exe，而后修改注册表文件，病毒会尝试连接三个网站，等待并接受恶意者的控制，病毒内置一个字典，尝试破解用户的口令。

Backdoor.Win32.IRCBot.et详细介绍

Backdoor.Win32.IRCBot.et，电脑病毒的一种，该病毒属后门类，病毒主要通过微软漏洞ms05-039进行传播。病毒运行后在系统文件夹下新建%usrnt%windrg32.exe，而后修改注册表文件，病毒会尝试连接三个网站，等待并接受恶意者的控制，病毒内置一个字典，尝试破解用户的口令。

Backdoor.Win32.IRCBot.et简介

病毒名称：

文件 MD5： FB7B3CF4C4023FBEB7A4E4CCF5FE2D0B

公开范围： 完全公开

感染系统： windows 2000 及以上版本

开发工具： Microsoft Visual C++

加壳类型： yoda's Protector

命名对照： Symentec

Mcafee

Backdoor.Win32.IRCBot.et病毒描述

该病毒还具有后门功能，病毒运行后会开启IRC信道，监听本地6667端口，病毒还会删除%Program Files%下的一些流氓软件，遍历当前进程并尝试结束一些进程。病毒利用ms05-039扫描网络，并开启本地ftp，提供被溢出的主机下载病毒副本，达到传播的目的。该病毒对用户有一定危害。

Backdoor.Win32.IRCBot.et行为分析

1、复制自身到%windir%usrntwindrg32.exe

2、修改注册表文件：

新建如下键值：

HKEY_LOCAL_MACHINESoftwareMicrosoft

WindowsCurrentVersionRun

键值：字串："WinDrg32" = %SYSTEM%USRNT

WINDRG32.EXE

尝试删除注册表中以下位置的键值：

HKEY_LOCAL_MACHINESoftwareMicrosoft

WindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoft

WindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESoftwareMicrosoft

WindowsCurrentVersionRunServices

列表如下：

WeatherOnTray

EbatesMoeMoneyMaker

AutoUpdater

eZmmod

Trickler

CMESys

QuickTime Task

saie

180ax

TkBellExe

ViewMgr

TBPS

WinTools

tov

sais

msbb

lgbibsn

tov

3、病毒内置一个字典，尝试破解用户的口令，字典如：

abc123

54321

654321

88888888

12345678

123456

12345

qsdfgh

asdfgh

azerty

azert

qwertz

qwertyui

qwerty

qwert

passe

passwort

password

owner

administrator

admi

4、遍历当前进程，尝试终止某些进程，如：

qttask.exe

realsched.exe

ViewMgr.exe

NHUpdater.exe

CxtPls.exe

CMESys.exe

5、病毒运行后会尝试连接以下网站，开启本地6667端口，并在感染主机上开启irc信道：

spook*****t.afraid.org

spook*****et.udp-flood.com

spook*****et.m00p.org

6、扫描网络，尝试溢出没有安装相关补丁的系统，并提供ftp下载病毒副本。

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程：

windrg32.exe

(2) 删除病毒文件：

% usrnt %windrg32.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串："WinDrg32" = %SYSTEM%USRNTWINDRG32.EXE