Win32/IRCBot.worm.46080.J 是 Win32/IRCBot.worm的变种之一. 该蠕虫利用Windows漏洞来
传播,运行该蠕虫后在Windows系统目录下生成 dxdmain.exe (46,080 bytes)文件并以服务方式
运行. 打开任意端口后连接到特定 IRC(Internet Relay Chat: 利用因特网的一种聊天服务) 试图连
接服务器以管理者(Operator)的身份执行恶意控制.
* 扩散程度
收集病毒信息的安博士公司已在 2005年 7月 29日 11:54分(GMT+9 标准) 从客户收到一件感染报告. 但是没有报告的感染危害可能会更大.
* 传播路径
Win32/IRCBot.worm.46080.J 也是与 Win32/IRCBot.worm 变种一样利用Windows漏洞来传播.
MS03-001 RPC Locator Vulnerability 漏洞
英文 - http://www.microsoft.com/technet/security/bulletin/MS03-001.mspx
韩文 - http://www.microsoft.com/korea/technet/security/bulletin/MS03-001.asp
MS03-026 RPC 缓冲区错误运行的代码问题
英文 - www.microsoft.com/technet/security/Bulletin/MS03-026.mspx
韩文 - www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
MS03-039 RPC DCOM2 漏洞
英文 - http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
韩文 - http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
MS04-011 Microsoft Windows 安全升级中存在的 LSASS 漏洞
英文 - www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
韩文 - www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp
* 运行后症状
Win32/IRCBot.worm.46080.J 使用Visual C++制作,自动解压运行方式. 运行该蠕虫后会在Windows系统目录下生成如下文件.
C:\Windows系统目录\ dxdmain.exe (46,080 bytes)
注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me C:\Windows\System,
windows NT/2000, C:\WinNT\System32, windows XP是 C:\Windows\System32 文件夹.
Win32/IRCBot.worm.46080.J 在感染的系统中更改注册表以服务方式运行.
HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
dxdmain\
服务名 = dxdmain
显示名 = DirectX Graphics
说明 = Allows you to disable DirecatDraw, Direct3D, and AGP Texture Acceleration.
运行文件了路径 = C:\Windows系统目录\dxdmain.exe
* 恶性 IRC bot 功能
特定 IRC(Internet Relay Chat: 利用因特网的一种聊天服务) 试图连接服务器和聊天室.
连接成功后,以管理者(Operator)的身份执行恶意控制.
一般可运行的恶性功能如下.但IRC 服务器管理者封闭该聊天室时,该恶性功能不会运行.
- 运行文件并删除 (其他蠕虫, 有可能运行病毒)
- 下载文件并装入(盗取机密文件)
- 确认系统信息(漏出用户信息)
- 确认网络信息
- 扫描网络端口功能
- 对特定主机进行 DoS 攻击和 Flood
- 强行关闭特定进程
- MS-SQL的 xp_cmdshell 运行盗取密码程序
- 获得网页浏览器中的临时保存的密码
Win32/IRCBot.worm.46080.J 打开任意的 TCP 端口后,试图从以下特定 IRC 服务6556端口来连接.
0x80.mar*******ong.com (* - 删除)
0x80.on********are.org (* - 删除)
0xff.me********nfo (* - 删除)
0x80.my*********me (* - 删除)
0x80.my*******.com (* - 删除)
0x80.goi****rs.com (* - 删除)
清除方法
* 使用V3Pro 2002 Deluxe / V3 VirusBlock 2005 / V3Net for Windows Server的用户
1. 产品运行后, 通过[升级]按钮或升级文件, 升级最新引擎及补丁文件.
2. 首先指定要检查的驱动器,然后进行检查.
3. 在进程中诊断为恶性代码时, 选择提示窗口中的‘强制推出后进行治疗’
恶性代码退出后,会自动进行治疗(删除).
4. 进程检查和指定的驱动器检查结束后,会弹出一个治疗窗口.
在这里点击'治疗所有目录'按钮后,治疗(删除)被诊断的恶性代码.
5. 添加及更改过的注册表值会自动修改.
* MyV3 用户
1. 连接到MyV3 网站(http://clinic.ahnlab.com/clinic/myv3.html 等)后运行. 如没有安装
MyV3活动 X 控制键, 在'安全警告'窗口点击'YES'后安装即可.
2. 把MyV3升级为最新版本.
3. 首先指定要检查的驱动器, 然后点击[开始检查]按钮后开始检查.
4. 在进程中诊断恶性代码时, 选择提示窗口中的'强制结束后治疗'. 从而关闭的恶性代码会自动被治疗(删除).
5. 进程检查和指定驱动器的检查结束后弹出一个治疗窗口.
在这里点击'治疗所有标题'按钮后, 对诊断的恶性代码开始进行治疗(删除).
6. 添加及更改的注册表值会自动修改.
你可以试下,dxdmain.exe是隐藏文件,到sysytem32里删除就可以了,看看开机后是不是会在生
