Backdoor.Win32.IRCBot.aaq后门分析

　　病毒名称： Backdoor.Win32.IRCBot.aaq

　　病毒类型： 后门

　　文件MD5： 383FA8F31BC56113DBB9F5B7527A6D0D

　　文件长度： 18，944 字节

　　感染系统： windows98以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

　　病毒描述：

　　该病毒为后门类，病毒运行后衍生病毒文件到系统目录下，关闭当前任务管理器中一切可以关切的进程，把衍生的DLL文件插入到系统正常进程Explorer.exe中，并通过rdshost.dll连接指定的IRC信道，并接受控制者远程控制。修改注册表，添加启动项，以达到随机启动的目的。该病毒通过MSN传播，会检查用户是否开启MSN，如果开启则自动向用户MSN中的好友自动发送消息，并把病毒衍生的文件photo album.zip做为附件发送。

　　行为分析：

　　1、病毒运行后衍生病毒文件到系统目录下：

%WINDIR%\photo album.zip 
%system32%\rdshost.dll

　　2、关闭当前任务管理器中一切可以关闭的进程。

　　3、把病毒衍生的文件rdshost.dll插入到系统正常进程Explorer.exe中，并通过rdshost.dll连接指定的IRC信道，并接受控制者远程控制。

　　4、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad 
键值：字串："rdshost "= "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" 
HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32 
键值：字串："@"="rdshost.dll" 
注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为可变字串。

　　5、该病毒通过MSN传播，会检查用户是否开启MSN，如果开启则自动向用户MSN中的好友自动发送消息，并把病毒衍生的文件photo album.zip做为附件发送：

　　自动向MSN好友发送消息：

QUOTE: 
　　HEY lol i've done a new photo album !:) 
   Second ill find file and send you it.
   Hey wanna see my new photo album?Hey accept my photo album, Nice new pics of
   me and my friends and stuff and when i was young lol... 
　　Hey just finished new photo album! :) might be a few nudes ;) lol... 
　　hey you got a photo album? anyways heres my new photo album :) accept k?
    hey man accept my new photo album.. :( made it for yah, been doing picture 
    story of my life lol..

　　并把病毒衍生的文件photo album.zip做为附件发送。

　　6、控制者利用IRC通信信道远程控制中毒计算机：

　　连接的IRC信道：darkjester.xplosionirc.net

　　IP地址：89.159.185.142

　　标准IRC控制命令：

NICK [%s][%iH]%s\n 
　　lol lol lol :shadowbot 
　　USER %s\n 
　　#test 
　　JOIN %s\n 
　　%s 
　　PING : 
　　PING : 
　　PING : 
　　PONG :%s\n 
　　404JOIN %s\n 
　　#test 
　　JOIN %s\n 
　　KICK 
　　#test 
　　JOIN %s\n 
　　PRIVMSGNOTICE 
　　NOTICE

　　注释：

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动系统所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% 当前用户TEMP缓存变量；路径为：

　　%Documents and Settings%\当前用户\Local Settings\Temp

　　%System32% 是一个可变路径；

　　病毒通过查询操作系统来决定当前System32文件夹的位置；

　　Windows2000/NT中默认的安装路径是　C：\Winnt\System32；

　　Windows95/98/Me中默认的安装路径是　C：\Windows\System；

　　WindowsXP中默认的安装路径是　C：\Windows\System32.

　　清除方案：

　　1、使用安天木马防线可彻底清除此病毒（推荐），请到安天网站下载：www.antiy.com .

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址： www.antiy.com或http://www.antiy.com/download/index.htm .

　　（1） 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

　　（2） 强行删除病毒文件

　　%WINDIR%\photo album.zip

　　%system32%\rdshost.dll

　　（3） 恢复病毒修改的注册表项目，删除病毒添加的注册表项

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

　　键值：字串："rdshost "= "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

　　HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32

　　键值：字串："@"="rdshost.dll"

　　注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为可变字串。