此病毒可以正常运行在Windows 9X、Windows NT、Windows 2000、Windows XP等操作系统环境下,是“IRC克隆人”病毒的一个新变种,被瑞星公司于12月2日首次擒获。病毒运行时会生成病毒安装包,并将自身安装地系统目录自启动,如果计算机中安装有mIRC聊天软件,则病毒会把这个程序改造成黑客攻击程序攻击网络上的其它计算机。
二、病毒特性:
1、将自身做成安装包进行安装会将自身进行包装,病毒会生成名为:stde9.exe的病毒安装包,当这个包运行时,病毒会自动把文件安放到system目录下。
2、修改注册表自启动。
病毒运行时会修改注册表的run项,将自身路径加入注册表的RUN项中,下次启动计算机时由系统自动引导病毒。
3、生成explore.exe病毒体
病毒会生成名为:explore.exe的病毒体。此病毒体是vb编写的程序,该程序的作用为启动mirc程序并把该程序的windows设成隐藏。以便让mirc程序启动时不被用户发觉。
4、隐藏启动聊天软件
病毒运行时会自动寻找mIRC软件,找到后将此工具启动,并将mIRC的窗口进行隐藏,为的是不让用户察觉。
5、释放多种病毒体
病毒会释放出名为:Web.swf的病毒脚本文件, 名为:Str.vxd的数据文件,名为:Symbiox.dll的具有木马功能的脚本。
6、实施多种攻击。
病毒一旦启动mIRC聊天工具,便可以实现端口扫描,文件服务器,邮件炸弹,Flood 攻击,UDP攻击,ICQ页面炸弹,局域网文件传染,局域网消息炸弹等多种攻击方式,对网络上的其它计算机进行攻击。
7、自动连接系统、上载病毒文件
病毒会利用V32driver.bat 脚本文件,使用ipc通讯尝试破解目标计算机,如果成功,会将stde9.exe病毒安装文件复制到目标系统并启动该文件,实现传染。
三、病毒的发现与清除:
IRC克隆人及其病毒变种会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
1、病毒会生成stde9.exe的病毒安装包到系统目录。
2、病毒会修改注册表的RUN项。
3、病毒会释放出三个病毒功能文件:Web.swf、 Str.vxd、 Symbiox.dll。
4、病毒会生成V32driver.bat 脚本文件。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“IRC克隆人II”病毒,在这种情况下用户可以将以上提到的病毒文件直接删除、将注册表中的键值删除来消除病毒的影响