病毒運行後將自己拷貝到系統目錄下(Win 2K/NT/XP操作系統為系統盤的system32,win9x為系統盤的system),文件屬性隱藏,名稱不定,這裏假設為xxx.,壹般都沒有圖標。病毒同時寫註冊表啟動項,項名不定,假設為yyy。病毒不同,寫的啟動項也不太壹樣,但肯定都包含這壹項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\yyy : xxx.
其他可能寫的項有:
HKEY_CURRENT_\Software\Microsoft\Windows\CurrentVersion
\Run\ yyy : xxx.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\ yyy : xxx.
也有少數會寫下面兩項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy : xxx.
HKEY_CURRENT_\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy : xxx.
此外,壹些IRC病毒在2K/NT/XP下還會將自己註冊為服務啟動。
病毒每隔壹定時間會自動嘗試連接特定的IRC服務器頻道,為黑客控制做好準備。黑客只需在聊天室中發送不同的操作指令,病毒就會在本地執行不同的操作,並將本地系統的返回信息發回聊天室,從而造成用戶信息的泄漏。這種後門控制機制是比較新穎的,即時用戶覺察到了損失,想要追查黑客也是非常困難。
病毒會掃描當前和相鄰網段內的機器並猜測登陸密碼。這個過程會占用大量網絡帶寬資源,容易造成局域網阻塞,國內不少企業用戶的業務均因此遭受影響。
出於保護被IRC病毒控制的計算機的目的,壹些IRC病毒會取消匿名登陸功能和DCOM功能。取消匿名登陸可阻止其他病毒猜解密碼感染自己,而禁用DCOM功能可使系統免受利用RPC漏洞傳播的其他病毒影響。
手工清除方法
所有的IRC後門病毒都會在註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的啟動項,並且項值只有文件名,不帶路徑,這給了我們提供了追查的線索。通過下面幾步我們可以安全的清除掉IRC病毒。
1、打開註冊表編輯器,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項,找出可疑文件的項目。
2、打開任務管理器(按Alt+Ctrl+或在任務欄單擊鼠標右鍵,選擇“任務管理器”),找到並結束與註冊表文件項相對應的進程。若進程不能結束,則可以切換到安全模式進行操作。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇“Safe Mode”或“安全模式”。
3、接著打開“我的電腦”,在“工具”菜單下選擇“文件夾選項”,選擇“顯示所有文件”,然後點擊“確定”。再進入系統文件夾,找出可疑文件並將它轉移或刪除,到這壹步病毒就算清除了。
4、最後可手工把註冊表裏病毒的啟動項清除,也可使用瑞星註冊表修復工具清除。