Backdoor.IRCBot.d

病毒名称:

Backdoor.IRCBot.d

类别： 后门病毒

病毒资料：

破坏方法：

后门病毒。

一、病毒经过特殊压缩方式。运行后拷贝自身为系统目录的“CONFIGLDR.EXE”，删除原来的文件。

二、修改注册表以自启动。

1 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Configuration Loader" : CONFIGLDR.EXE

2 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices

"Configuration Loader" : CONFIGLDR.EXE

三、开辟线程，每隔1/4秒钟扫描内存，终止下列反病毒程序。

zonealarm.EXE

zapro.EXE

vsmon.EXE

vshwin32.EXE

vbcmserv.EXE

sbserv.EXE

rtvscan.EXE

rapapp.EXE

pcscan.EXE

pccwin97.EXE

pccntmon.EXE

pavproxy.EXE

nvsvc32.EXE

ntrtscan.EXE

等等四十多个

四、开辟若干个线程，试探连接网络其他ip地址的445和135端口，寻找有漏洞的主机进行攻击

。

五、开辟后门，等待黑客连接。

六、偷窃本地机器上的正版游戏和流行应用软件的序列号。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-3-18