我的瑞星是正版的2005个人版,已经升级到最新版本17.35.30,多次用瑞星查杀这个文件,无法查出病毒来!最后使用手工才将其删除!
以下为从网上找到的这个病毒的介绍:(希望能给也遇到这个病毒的朋友提供点帮助!)
病毒名称 Win32/IRCBot.worm.35840.K
危险程度 可治疗日期 2005-02-16
种类 Worm 类型 Windows文件
症状
Win32/IRCBot.worm.35840.K 蠕虫是 Win32/IRCBot.worm 的变种之一. 运行该蠕虫会在
Windows 系统目录下生成 Mapi32.exe (35,840 bits)文件. 打开任意的 TCP 端口后试图
从特定的 IRC 服务器 TCP 19899 端口来连接,还会打开 TCP 1025 端口试图从外部非
法连接. 连接成功特定 IRC 服务器后,以管理者(Operator)的身份执行恶意控制.
内容
* 扩散程度
收集病毒信息的安博士公司已在 2005年 02月 17日 17:05分(GMT+9 标准) 从客户收到一件感染报告.
* 传播路径
Win32/IRCBot.worm.35840.K 是利用以下 Windows 2000/XP 的漏洞来传播.
MS04-011 Microsoft Windows 安全升级中 LSASS 漏洞
英文 - www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
韩文 - www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp
MS03-049 工作站服务的缓冲区错误运行的代码问题
英文 - www.microsoft.com/technet/security/Bulletin/MS03-049.mspx
韩文 - www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp
MS03-026 RPC 的缓冲区错误运行的代码问题
英文 - www.microsoft.com/technet/security/Bulletin/MS03-026.mspx
韩文 - www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
MS03-007: Windows 构成因素里没有点验的缓冲会损坏网络服务器
英文 - www.microsoft.com/technet/security/bulletin/MS03-007.mspx
韩文 - www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp
Windows NT 系列(Windows NT, 2000, XP) 用户登录密码过于简单时对共享文件夹存在
的漏洞,蠕虫进入系统后进行感染.
MS-SQL 数据库 SA 用户的密码过于简单时连接此数据库后会运行蠕虫. 在那些简单密码的用户名上输入的列表如下.
Rendszergazda
Beheerder
amministratore
hallintovirkailijat
Administrat
Administrateur
administrador
Administrador
administrator
Administrator
ADMINISTRATOR
Password
password
Admin
该蠕虫试图连接共享文件夹或者共享打印机. 如果在内网里有一个网络共享打印机时会打印出大量二进制文字.
c$\windows\system32
c$\winnt\system32
Admin$\system32
print$
admin$
* 运行后症状
Win32/IRCBot.worm.35840.K 是用Visual C++ 制作并且自动解压运行方式. 运行该蠕虫会在 Windows 系统目录下生成如下文件.
C:\Windows 系统目录\Mapi32.exe (35,840 bits)
注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me
C:\Windows\System, windows NT/2000, C:\WinNT\System32, windows XP是
C:\Windows\System32 文件夹.
更改注册表当系统启动时自动运行.
服务名 : Extended MAPI Function Handler
表示名 : Handling the loading of the MAPI API.
说明 : Handling all MAPI related system operations.
HKEY_LOCAL_MACHINE\
System\
ControSet002\
Services\
Extended MAPI Function Handler\
的 ImagePath = C:\Windows 系统文件夹\Mapi32.exe
HKEY_LOCAL_MACHINE\
System\
CurentControSet\
Services\
Extended MAPI Function Handler\
的 ImagePath = C:\Windows 系统文件夹\Mapi32.exe
感染的系统会打开以下端口处于 LISTENING 状态.
TCP 1025 端口
从外部利用该端口可以执行远程控制. 带着恶意心理的人连接他人电脑时会执行(运行程序, 删除资料等) 或者盗取个人信息,各种文件,机密文件.
* 恶性的 IRC BOT 功能
特定 IRC(Internet Relay Chat: 利用因特网的一种聊天服务) 试图连接服务器和聊天室.
连接成功后,以管理者(Operator)的身份执行恶意控制。
一般可运行的恶性功能如下.但IRC 服务器管理者封闭该聊天室时,该恶性功能不会运行
- 下载文件以及装入(盗取机密文件)
- 确认系统信息 (泄露用户信息)
- 确认系统网路信息
- 罗网获取数据包
- 搜索网路
- 强制结束特定进程
- 获取网络浏览器里暂时存储的密码
- 连接的 MS-SQL 数据库中运行 xp_cmdshell 进程
Win32/IRCBot.worm.35840.K 打开任意的 TCP 端口后试图从 IRC 服务器的 TCP 19899
端口来连接.
exploited.******.org (* - 删除)
exploited.******.cc (* - 删除)
试图连接的频段和用户名如下.
#doxe# 3nt3r
#doxk# 3nt3r
#doxx# 3nt3r
特洛伊木马会生成如下互斥 (Mutex) 以防止重复运行.
0x0_MAPI32_0x0
清除方法
* 使用V3Pro 2002 Deluxe / V3 VirusBlock 2005 / V3Net for Windows Server的用户
1. 产品运行后, 通过[升级]按钮或升级文件, 升级最新引擎及补丁文件.
2. 首先指定要检查的驱动器,然后进行检查.
3. 在进程中诊断为恶性代码时, 选择提示窗口中的‘强制推出后进行治疗’
恶性代码退出后,会自动进行治疗(删除).
4. 进程检查和指定的驱动器检查结束后,会弹出一个治疗窗口.
在这里点击'治疗所有目录'按钮后,治疗(删除)被诊断的恶性代码.
5. 添加及更改过的注册表值会自动修改.
* MyV3 用户
1. 连接到MyV3 网站(http://clinic.ahnlab.com/clinic/myv3.html 等)后运行. 如没有安装
MyV3活动 X 控制键, 在'安全警告'窗口点击'YES'后安装即可.
2. 把MyV3升级为最新版本.
3. 首先指定要检查的驱动器, 然后点击[开始检查]按钮后开始检查.
4. 在进程中诊断恶性代码时, 选择提示窗口中的'强制结束后治疗'. 从而关闭的恶性代码会
自动被治疗(删除).
5. 进程检查和指定驱动器的检查结束后弹出一个治疗窗口.
在这里点击'治疗所有标题'按钮后, 对诊断的恶性代码开始进行治疗(删除).
6. 添加及更改的注册表值会自动修改.
