IRC后门病毒
IRC后门病毒
概述
2004年年初,IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失。由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难。
手工清除
所有的IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下添加自己的启动项,并且项值只有文件名,不带路径,这给提供了追查的线索。通过下面几步可以安全的清除掉IRC病毒。
1、打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项,找出可疑文件的项目。
2、打开任务管理器(按Alt+Ctrl+Del或在任务栏单击鼠标右键,选择“任务管理器”),找到并结束与注册表文件项相对应的进程。若进程不能结束,则可以切换到安全模式进行操作。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
3、接着打开“我的电脑”,在“工具”菜单下选择“文件夹选项”,选择“显示所有文件”,然后点击“确定”。再进入系统文件夹,找出可疑文件并将它转移或删除,到这一步病毒就算清除了。
4、最后可手工把注册表里病毒的启动项清除,也可使用瑞星注册表修复工具清除。
安全建议
1、建立良好的安全习惯
不要轻易打开一些来历不明的邮件及其附件,不要轻易登陆陌生的网站。从网上下载的文件要先查毒再运行。
2、关闭或删除系统中不需要的服务
默认情况下,操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对大多数用户没有用。删除它们,可以大大减少被攻击的可能性。
3、经常升级安全补丁
据统计,大部分网络病毒都是通过系统及IE安全漏洞进行传播的,如:冲击波、震荡波、SCO炸弹AC/AD等病毒。如果机器存在漏洞则很可能造成病毒反复感染,无法清除干净。因此一定要定期登陆微软升级网站下载安装最新的安全补丁。同时也可以使用瑞星杀毒软件附带的“瑞星漏洞扫描”定期对系统进行检查。
4、设置复杂的密码
有许多网络病毒是通过猜测简单密码的方式对系统进行攻击。因此设置复杂的密码(大小写字母、数字、特殊符号混合,8位以上),将会大大提高计算机的安全系数,减少被病毒攻击的概率。
5、迅速隔离受感染的计算机
当您的计算机发现病毒或异常情况时应立即切断网络连接,以防止计算机受到更严重的感染或破坏,或者成为传播源感染其它计算机。
6、经常了解一些反病毒资讯
经常登陆信息安全厂商的官方主页,了解最新的资讯。这样您就可以及时发现新病毒并在计算机被病毒感染时能够作出及时准确的处理。比如了解一些注册表的知识,就可以定期查看注册表自启动项是否有可疑键值;了解一些程序进程知识,就可以查看内存中是否有可疑程序。
7、最好是安装专业的防毒软件进行全面监控
在病毒技术日新月异的今天,使用专业的反病毒软件对计算机进行防护仍是保证信息安全的最佳选择。用户在安装了反病毒软件之后,一定要开启实时监控功能并经常进行升级以防范最新的病毒,这样才能真正保障计算机的安全。
后门概念
当一个训练有素的程序员设计一个功能较复杂的软件时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,而后门则是一个模块的秘密入口。在程序开发期间,后门的存在是为了便于测试、更改和增强模块的功能。当然,程序员一般不会把后门记入软件的说明文档,因此用户通常无法了解后门的存在。
按照正常操作程序,在软件交付用户之前,程序员应该去掉软件模块中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完成的程序等种种原因,实际上并未去掉。
这样,后门就可能被程序的作者所秘密使用,也可能被少数别有用心的人用穷举搜索法发现利用。
从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门。本文将讨论许多常见的后门及其检测方法。更多的焦点放在Unix系统的后门,同时讨论一些未来将会出现的Windows NT的后门。本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识。当管理员懂的一旦入侵者入侵后要制止他们是何等之难以后,将更主动于预防第一次入侵。
大多数入侵者的后门实现以下二到三个目的:
即使管理员通过改变所有密码类似的方法来提高安全性,仍然能再次侵入。使再次侵入被发现的可能性减至最低。大多数后门设法躲过日志,大多数情况下即使入侵者正在使用系统也无法显示他已在线。一些情况下,如果入侵者认为管理员可能会检测到已经安装的后门,他们以系统的脆弱性作为唯一的后门,重而反复攻破机器。这也不会引起管理员的注意。所以在这样的情况下,一台机器的脆弱性是它唯一未被注意的后门。