IRC后门病毒及清除方案

    IRC全名为Internet Relay Chat，是一款即时聊天工具，类似网络聊天室，但功能更强大。

    IRC没有国界限制，在国外非常流行。世界头号黑客Kevin Mitnick在被FBI通缉流亡期间与外界交流的唯一工具就是IRC。国外很多大学，商业机构都架设了IRC服务器。普通用户可以登陆特定的IRC服务器与自己的好友交谈、传输文件，非常方便。     

    IRC客户端与服务端通信采用的端口和相应协议是公开的，现在网上有很多IRC客户端软件，各有特色。同时，也正是由于协议的公开，给了病毒可乘之机。2004年年初，互连网开始大规模出现IRC后门病毒，全球的电脑都被笼罩在一个由IRC后门织成的网中，各家杀毒软件公司对此类病毒极为关注。

    IRC病毒可以使用户机器里的信息完全暴露给黑客，直接造成用户损失。同时，IRC病毒和蠕虫一样通过网络自动传播，占用大量网络资源，很容易阻塞局域网，给很多公司的正常业务带来较大影响。并且，许多IRC病毒的源代码是公开的，一个初学者拿到代码后只需少量改动即可编译出一个新的病毒，再给病毒加上不同的壳，造成IRC后门病毒变种不断涌现。

    通常，杀毒软件厂商将这些病毒命名为bot，根据一些特性的不同加上不同的前缀，如：Agobot，Rbot，Sdbot，Wootbot等。

    不同IRC后门病毒之间也是存在一些差别的。比如高波（Agobot）病毒具有和冲击波（Worm.Blaster）病毒相同的传播方式，即通过系统服务svchost.exe的DCOM漏洞进行传播。经常会导致svchost.exe非法操作、复制粘贴功能失效，甚至可能导致操作系统60秒倒计时自动重新启动计算机，给用户工作带来不便。

    2004年年初，IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险，另一方面病毒出现在局域网中使网络阻塞，影响正常工作，从而造成损失。

    由于病毒的源代码是公开的，任何人拿到源码后稍加修改就可编译生成一个全新的病毒，再加上不同的壳，造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形，给病毒查杀带来很大困难。本文先从技术角度介绍IRC后门病毒，然后介绍其手工清除方法。

    一、技术报告

    IRC病毒集黑客、蠕虫、后门功能于一体，通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典，用户如不设置密码或密码过于简单都会使系统易受病毒影响。

    病毒运行后将自己拷贝到系统目录下(Win 2K/NT/XP操作系统为系统盘的system32，win9x为系统盘的system)，文件属性隐藏，名称不定，这里假设为xxx.exe，一般都没有图标。病毒同时写注册表启动项，项名不定，假设为yyy。病毒不同，写的启动项也不太一样，但肯定都包含这一项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\yyy : xxx.exe
其他可能写的项有：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\ yyy : xxx.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\ yyy : xxx.exe
也有少数会写下面两项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy : xxx.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy : xxx.exe
此外，一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。

    病毒每隔一定时间会自动尝试连接特定的IRC服务器频道，为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令，病毒就会在本地执行不同的操作，并将本地系统的返回信息发回聊天室，从而造成用户信息的泄漏。这种后门控制机制是比较新颖的，即时用户觉察到了损失，想要追查黑客也是非常困难。

    病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量网络带宽资源，容易造成局域网阻塞，国内不少企业用户的业务均因此遭受影响。

    出于保护被IRC病毒控制的计算机的目的，一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己，而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。

    二、手工清除方法

    所有的IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的启动项，并且项值只有文件名，不带路径，这给了我们提供了追查的线索。通过下面几步我们可以安全的清除掉IRC病毒。

    1、打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项，找出可疑文件的项目。

    2、打开任务管理器（按Alt+Ctrl+Del或在任务栏单击鼠标右键，选择“任务管理器”），找到并结束与注册表文件项相对应的进程。若进程不能结束，则可以切换到安全模式进行操作。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

    3、接着打开“我的电脑”，在“工具”菜单下选择“文件夹选项”，选择“显示所有文件”，然后点击“确定”。再进入系统文件夹，找出可疑文件并将它转移或删除，到这一步病毒就算清除了。

    4、最后可手工把注册表里病毒的启动项清除，也可使用瑞星注册表修复工具清除。

    如果你发现了瑞星杀毒软件查不到的IRC病毒，也欢迎登陆瑞星新病毒上报网站（http://up.rising.com.cn）上传样本。

    三、安全建议

    1.建立良好的安全习惯
    不要轻易打开一些来历不明的邮件及其附件，不要轻易登陆陌生的网站。从网上下载的文件要先查毒再运行。

    2.关闭或删除系统中不需要的服务
    默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对大多数用户没有用。删除它们，可以大大减少被攻击的可能性。

    3.经常升级安全补丁
    据统计，大部分网络病毒都是通过系统及IE安全漏洞进行传播的，如：冲击波、震荡波、SCO炸弹AC/AD等病毒。如果机器存在漏洞则很可能造成病毒反复感染，无法清除干净。因此一定要定期登陆微软升级网站（http://windowsupdate.microsoft.com）下载安装最新的安全补丁。同时也可以使用瑞星杀毒软件附带的“瑞星漏洞扫描”定期对系统进行检查。

    4.设置复杂的密码
    有许多网络病毒是通过猜测简单密码的方式对系统进行攻击。因此设置复杂的密码（大小写字母、数字、特殊符号混合，8位以上），将会大大提高计算机的安全系数，减少被病毒攻击的概率。

    5.迅速隔离受感染的计算机
    当您的计算机发现病毒或异常情况时应立即切断网络连接，以防止计算机受到更严重的感染或破坏，或者成为传播源感染其它计算机。

    6.经常了解一些反病毒资讯
    经常登陆信息安全厂商的官方主页，了解最新的资讯。这样您就可以及时发现新病毒并在计算机被病毒感染时能够作出及时准确的处理。比如了解一些注册表的知识，就可以定期查看注册表自启动项是否有可疑键值；了解一些程序进程知识，就可以查看内存中是否有可疑程序。

    7.最好是安装专业的防毒软件进行全面监控
    在病毒技术日新月异的今天，使用专业的反病毒软件对计算机进行防护仍是保证信息安全的最佳选择。用户在安装了反病毒软件之后，一定要开启实时监控功能并经常进行升级以防范最新的病毒，这样才能真正保障计算机的安全。