Backdoor.IRC.Cloner.k
2008-02-23 09:05:01来源:互联网 阅读 ()
病毒名称:
Backdoor.IRC.Cloner.k
类别: 后门病毒
病毒资料:
Backdoor.IRC.Cloner.k是依托于mIRC程序,利用mIRC强大的脚本功能进行攻击和访问控制的后门程序。整个后门程序由多个部分组成:
1 病毒利用程序。包括kill.exe,psexec.exe,adobea.exe,attrib.exe,ntsys.exe。
2 病毒核心程序。包括adobes.exe,abc2.dll,abcd.jpg,abc.bat,ntdll.bat。
3 其他病毒生成文件和相关配置文件。
一 病毒利用程序
kill.exe (以进程号做参数结束进程的工具)
psexec.exe (远程进程序启动工具)
adobea.exe (mIRC主程序)
attrib.exe (设置文件属性的程序)
ntsys.exe (隐藏窗口的程序)
二 病毒核心程序
adobes.exe(隐藏程序)(病毒名称是Backdoor.mIRC-based)
为一个Visual Basic编写的程序,该程序的作用为启动adobea.exe(即mirc程序)并把该程序的窗口设成隐藏。以便让mirc程序启动时不被用户发觉。该程序被加入到注册表run项中,系统启动时自动加载(加入注册表的部分在病毒脚本中)。
abc2.dll (配置文件)
mirc的配置文件,这个配置文件为病毒作者设计的,主要是把mirc的window等设成隐藏方式。并设一个执行脚本:文件名为abcd.jpg。
abcd.jpg(服务器脚本) ***后门实体*** (病毒名称是Backdoor.IRC.Cloner.k)
病毒的主体部分,该脚本实现的功能非常之多,它把mirc变成“功能强大”的服务器,可以实现端口扫描,文件服务器,邮件炸弹,Flood 攻击,UDP攻击,ICQ页面炸弹,局域网文件传染,局域网消息炸弹等多种攻击方式,把当前系统变成一个攻击服务器。
abc.bat (功能脚本) (可作传染部分) (病毒名称是Backdoor.IRC.Cloner.k.bat)
尝试利用ipc通讯和指定系统连接。这里将尝试几个简单的密码连接。如果连接成功,将把shell32core.exe 复制到目标系统上并启动它。
ntdll.bat (功能脚本)
删除本地系统的所有共享资源。
三 其他病毒生成文件和相关配置文件
病毒根据扫描结果会生成一些配置文件来记录扫描结构信息。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2002-12-1
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
