汕头潮阳区:win32/IRCbot.worm病毒

★ Win32/IRCBot.worm系列病毒变种及防治 ★

专杀工具下载网址：http://searchwin2000.techtarget.com.cn/tips/340/1917340.shtml

近来有用户向我们反映，系统感染了Win32/IRCBot.worm.64512.P的病毒，而不知道如何处理，我们的编辑搜集了相关的资料，希望能够对大家有所帮助。

Win32/IRCBot.worm.64512.P仍然是Win32/IRCBot.worm 蠕虫的变种之一。该蠕虫试图利用Windows的漏洞和SQL数据库中SA用户设置的密码过于简单的漏洞来传播。运行该程序会在Windows系统目录下生成wipv6.exe（64,512 bytes）和msdirectx.sys（6,656 bytes）文件。打开任意的TCP端口并试图从特定IRC服务器连接并以以管理者（Operator）的身份执行恶意控制。

中毒后的症状可以如下：

运行后显示如下症状：

在Window 系统目录下生成如下文件：

C:\Windows 系统目录\wipv6.exe (64,512 bytes)
C:\Windows 系统目录\msdirectx.sys (6,656 bytes)

注意：windows系统文件夹的类型以版本不同有差异。在Windows 95/98/Me 下C:\Windows\System, windows NT/2000, C:\WinNT\System32，windows XP是C:\Windows\System32 文件夹。

更改注册表当系统启动时自动运行：

HKEY_CURRENT_USER\Software\Microsoft\OLE
Windows IPv6 Drivers = wipv6.exe

HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Run
Windows IPv6 Drivers = wipv6.exe

HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\RunServices
Windows IPv6 Drivers = wipv6.exe

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
Windows IPv6 Drivers = wipv6.exe

HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\Ole
Windows IPv6 Drivers = wipv6.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows IPv6 Drivers = wipv6.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows IPv6 Drivers = wipv6.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa
Windows IPv6 Drivers = wipv6.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Windows IPv6 Drivers = wipv6.exe

HKEY_USERS\用户账户的 S-id 值\Software\Microsoft\OLE
Windows IPv6 Drivers = wipv6.exe

HKEY_USERS\用户账户的 S-id 值\Software\Microsoft\Windows\CurrentVersion\Run
Windows IPv6 Drivers = wipv6.exe

HKEY_USERS\用户账户的 S-id 值\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows IPv6 Drivers = wipv6.exe

HKEY_USERS\用户账户的 S-id 值\SYSTEM\CurrentControlSet\Control\Lsa
Windows IPv6 Drivers = wipv6.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdirectx
ImagePath = \??\C:\Windows 系统目录\msdirectx.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx
ImagePath = \??\C:\Windows 系统目录\msdirectx.sys

一般可运行的恶性功能如下

运行文件以及删除 (运行其它蠕虫, 病毒)
下载文件以及装入(盗取机密文件)
强制结束特定进程
确认系统信息 (泄露用户信息)
搜索网路
强制解除共享文件夹
强制结束系统的 DCOM 服务
MS-SQL 数据库中运行 xp_cmdshell 进程

services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

MS05-039高危漏洞！最近发生反复services.exe重启
c:\winnt\system32\services.exe出乎意料地终止,状态码为128,系统现将关机,并重新启动。

你到以上地址下载补丁

http://download.microsoft.com/download/2/f/d/2fd3f7a1-427e-4f80-8abc-98fe26137034/Windows2000-KB899588-x86-CHS.EXE

只要能查出来就能杀，所谓杀不了，是因为病毒在运行；正在运行的程序不能修改或删除。
从新启动，按住F8，进入安全模式，用杀毒软件就可以轻松杀毒了。

建议下载金山毒霸2006安全组合装
闪电杀毒
http://www.xxjp.org/Software/Catalog21/7220.html

好复杂啊。同上算了。要我就格式化好了。又干净又彻底。