Backdoor.Win32.IRCBot.aaq后門分析

病毒名稱： Backdoor.Win32.IRCBot.aaq
    病毒類型： 后門
    文件MD5： 383FA8F31BC56113DBB9F5B7527A6D0D
    文件長(zhǎng)度： 18，944 字節(jié)
    感染系統(tǒng)： windows98以上版本
    開發(fā)工具： Microsoft Visual C++ 6.0
    加殼類型： UPX 0.89.6 - 1.02 / 1.05 - 1.24
    病毒描述：
    該病毒為后門類，病毒運(yùn)行后衍生病毒文件到系統(tǒng)目錄下，關(guān)閉當(dāng)前任務(wù)管理器中一切可以關(guān)切的進(jìn)程，把衍生的DLL文件插入到系統(tǒng)正常進(jìn)程Explorer.exe中，并通過rdshost.dll連接指定的IRC信道，并接受控制者遠(yuǎn)程控制。修改注冊(cè)表，添加啟動(dòng)項(xiàng)，以達(dá)到隨機(jī)啟動(dòng)的目的。該病毒通過MSN傳播，會(huì)檢查用戶是否開啟MSN，如果開啟則自動(dòng)向用戶MSN中的好友自動(dòng)發(fā)送消息，并把病毒衍生的文件photo album.zip做為附件發(fā)送。
    行為分析：
    1、病毒運(yùn)行后衍生病毒文件到系統(tǒng)目錄下：
    %WINDIR%\photo album.zip %system32%\rdshost.dll
    2、關(guān)閉當(dāng)前任務(wù)管理器中一切可以關(guān)閉的進(jìn)程。
    3、把病毒衍生的文件rdshost.dll插入到系統(tǒng)正常進(jìn)程Explorer.exe中，并通過rdshost.dll連接指定的IRC信道，并接受控制者遠(yuǎn)程控制。
    4、修改注冊(cè)表，添加啟動(dòng)項(xiàng)，以達(dá)到隨機(jī)啟動(dòng)的目的：
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 鍵值：字串："rdshost "= "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32 鍵值：字串："@"="rdshost.dll" 注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為可變字串。
    5、該病毒通過MSN傳播，會(huì)檢查用戶是否開啟MSN，如果開啟則自動(dòng)向用戶MSN中的好友自動(dòng)發(fā)送消息，并把病毒衍生的文件photo album.zip做為附件發(fā)送：
    自動(dòng)向MSN好友發(fā)送消息：
    QUOTE: 　　HEY lol i've done a new photo album !:) Second ill find file and send you it. Hey wanna see my new photo album?Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol... 　　Hey just finished new photo album! :) might be a few nudes ;) lol... 　　hey you got a photo album? anyways heres my new photo album :) accept k? hey man accept my new photo album.. :( made it for yah, been doing picture story of my life lol..
    并把病毒衍生的文件photo album.zip做為附件發(fā)送。6、控制者利用IRC通信信道遠(yuǎn)程控制中毒計(jì)算機(jī)：
    連接的IRC信道：darkjester.xplosionirc.net
    IP地址：89.159.185.142
    標(biāo)準(zhǔn)IRC控制命令：
    NICK [%s][%iH]%s\n 　　lol lol lol :shadowbot 　　USER %s\n 　　#test 　　JOIN %s\n 　　%s 　　PING : 　　PING : 　　PING : 　　PONG :%s\n 　　404JOIN %s\n 　　#test 　　JOIN %s\n 　　KICK 　　#test 　　JOIN %s\n 　　PRIVMSGNOTICE 　　NOTICE
    注釋：
    %Windir% WINDODWS所在目錄
    %DriveLetter% 邏輯驅(qū)動(dòng)器根目錄
    %ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄
    %HomeDrive% 當(dāng)前啟動(dòng)系統(tǒng)所在分區(qū)
    %Documents and Settings% 當(dāng)前用戶文檔根目錄
    %Temp% 當(dāng)前用戶TEMP緩存變量；路徑為：
    %Documents and Settings%\當(dāng)前用戶\Local Settings\Temp
    %System32% 是一個(gè)可變路徑；
    病毒通過查詢操作系統(tǒng)來決定當(dāng)前System32文件夾的位置；
    Windows2000/NT中默認(rèn)的安裝路徑是　C：\Winnt\System32；
    Windows95/98/Me中默認(rèn)的安裝路徑是　C：\Windows\System；
    WindowsXP中默認(rèn)的安裝路徑是　C：\Windows\System32.
    清除方案：
    1、使用安天木馬防線可徹底清除此病毒（推薦），請(qǐng)到安天網(wǎng)站下載：www.antiy.com .
    2、手工清除請(qǐng)按照行為分析刪除對(duì)應(yīng)文件，恢復(fù)相關(guān)系統(tǒng)設(shè)置。推薦使用ATool（安天安全管理工具），ATool下載地址： www.antiy.com或http://www.antiy.com/download/index.htm .
    （1） 使用安天木馬防線或ATool中的“進(jìn)程管理”關(guān)閉病毒進(jìn)程
    （2） 強(qiáng)行刪除病毒文件
    %WINDIR%\photo album.zip
    %system32%\rdshost.dll
    （3） 恢復(fù)病毒修改的注冊(cè)表項(xiàng)目，刪除病毒添加的注冊(cè)表項(xiàng)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    鍵值：字串："rdshost "= "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
    HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32
    鍵值：字串："@"="rdshost.dll"
    注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為可變字串。