IRCバックドアウイルス及び手動クリア方法
2004年初頭には、IRCのバックドアウイルスが世界のネットワークで大規模に出現し始めた。地元の情報が漏れる恐れがある一方で、ウイルスがLANに現れてネットワークがブロックされ、正常な動作に影響を与え、損失をもたらします。 また、ウイルスのソースコードは公開されているので、ソースを手に入れた後、少し修正すれば、全く新しいウイルスがコンパイルされ、殻が違って、IRCのバックドアウイルスが大量に出現します。また、ウイルスは運行するたびに変形し、ウイルスの検出に大きな困難をもたらす場合があります。本論文ではまず技術的な観点からIRLCの後門ウイルスを紹介し、その手作業で除去する方法を紹介します。 一、技術報告 IRCウイルスはハッカー、ワーム、バックドア機能が一体となり、LAN共有ディレクトリとシステム・ホールを通じて伝播します。ウイルスは簡単なパスワードの辞書を持っています。ユーザーがパスワードやパスワードを設定しないと、ウイルスに影響されやすいです。 ウイルスが実行されたら、自分をシステムディレクトリにコピーします。 2 K/NT/XPオペレーティングシステムはシステムディスクのsystem 32、win 9 xはシステムディスクのsystemです。ファイルの属性は隠しています。名前は不定です。ここではxxx.exeと仮定します。普通はアイコンがありません。ウィルスは同時にレジストリの起動項目を書いて、項名は定まらないで、yyと仮定します。ウイルスによっては、書き始めの項目が違っていますが、必ずこの項目が含まれています。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version \Run\yy : xxx.exe 他の可能な項目は以下の通りです。 HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version \Run\ yy : xxx.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version \RunServices\ yy : xxx.exe 以下の二つの項目を書くこともあります。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version \RunOnce\yy : xxx.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version \RunOnce\yy : xxx.exe また、いくつかのIRCウイルスは2 K/NT/XPの下で自身をサービスとして登録して起動します。 ウイルスは一定時間ごとに特定のIRCサーバのチャンネルに自動的に接続することを試みます。ハッカーコントロールのために準備します。ハッカーはチャットルームで異なる操作コマンドを送信するだけで、ウイルスはローカルで異なる操作を実行し、ローカルシステムのリターン情報をチャットルームに送り、ユーザ情報の漏洩を引き起こす。このようなバックドアコントロールのメカニズムは比較的に斬新で、即時ユーザーが損失を発見しました。ハッカーを追跡するのもとても難しいです。 ウイルスは現在および隣接するネットワーク内のマシンをスキャンし、ログインパスワードを推測します。このプロセスは、多くのネットワーク帯域幅のリソースを占有し、ローカルネットワークのブロックを引き起こしやすく、国内の多くの企業ユーザーの業務に影響を与えます。 IRCウイルスによって制御されるコンピュータを保護する目的で、一部のIRCウイルスは匿名登録機能とDCOM機能をキャンセルします。匿名ログインをキャンセルすると、他のウイルスの推測パスワードが自分に感染しないようにします。DCOM機能を無効にすると、RPCホールを利用して他のウイルスの影響を受けないようにします。 二、手動クリア方法 すべてのIRCバックドアウイルスはレジストリHKEY_にあります。LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Runの下に自分の起動項目を追加して、そして項目値はファイル名だけで、パスを持たないで、追跡の手がかりを提供してくれました。次のステップを通じて、IRCウイルスを安全に除去することができます。 1、レジストリエディタを開けて、HKEY_に位置します。LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run項は、疑わしいファイルの項目を探し出します。 2、タスクマネージャを開け(Alt+Ctrl+Delを押すか、またはタスクバーでマウスの右ボタンをクリックし、「タスクマネージャ」を選択)、レジストリファイルの項目に対応するプロセスを見つけて終了します。プロセスが終了できない場合は、セーフティモードに切り替えて操作することができます。セキュリティモードに入る方法は、コンピュータを起動し、Windows起動画面に入る前に、F 8キー(またはコンピュータ起動時にCtrlキーを押して放さない)を押し、出現する起動オプションメニューから「Safe」を選択することです。 Modeまたは「安全モード」です。 3、次に「マイコンピュータ」を開き、「ツール」メニューの下で「フォルダオプション」を選択し、「すべてのファイルを表示する」を選択し、「確定」をクリックします。またシステムフォルダに入り、怪しいファイルを見つけて移動または削除します。このステップでウイルスはクリアされます。 4、最後に手でレジストリ内のウイルスの起動項目をクリアしてもいいし、レジストリ修復ツールを使ってクリアしてもいいです。 もしあなたが瑞星のウイルス対策ソフトで調べられないIRCウイルスを発見したら、瑞星の新しいウイルスに登録してウェブサイトに報告することも歓迎します。http://up.rising.com.cn)サンプルをアップロードします。 三、安全提案 1.良い安全習慣を作る 得体の知れないメールや添付ファイルを安易に開けず、見知らぬサイトに簡単に登録しないでください。ネットからダウンロードしたファイルはまず毒を調べてから実行します。 2.システムに必要でないサービスをクローズまたは削除する デフォルトでは、オペレーティングシステムはいくつかのサポートサービスをインストールします。 FTP クライアント 和 Web サーバこれらのサービスは攻撃者のために便利であり、大多数のユーザーには役に立たない。それらを削除すると、攻撃される可能性を大幅に減らすことができます。 3.常にセキュリティパッチをアップグレードする 統計によると、ネットワークウイルスの大部分は、衝撃波、震動波、SCO爆弾AC/ADなどのウイルスがシステムおよびIEセキュリティホールを介して伝播されている。機械に抜け穴があるとウイルスが繰り返し感染し、きれいに取り除けない恐れがあります。マイクロソフトのアップグレードサイトに定期的に登録してください。http://windowsupdate.microsoft.com)最新のセキュリティパッチをダウンロードします。ライジングアンチウイルスソフトに付属する「スウェーデン・ホール・スキャン」を使って定期的にシステムをチェックすることもできます。 4.複雑なパスワードを設定する 多くのネットワークウイルスは簡単なパスワードを推測することによってシステムを攻撃します。したがって、複雑なパスワード(文字の大きさ、数字、特殊な記号の混合、8桁以上)を設定すると、コンピュータのセキュリティ係数が大幅に向上し、ウイルスによって攻撃される確率が減少します。 5.感染したコンピュータを迅速に隔離する あなたのコンピュータがウイルスや異常を発見したら、すぐにネットワーク接続を切断して、コンピュータがより深刻な感染や破壊を受けないようにします。または他のコンピュータに感染するソースになります。 6.アンチウイルス情報についてよく知っています。 常に情報セキュリティメーカーの公式ホームページにアクセスし、最新情報を知る。このようにすると、新しいウィルスを発見し、コンピューターがウイルスに感染された時に、速やかに正確に処理することができます。例えば、レジストリの知識を知ると、定期的にレジストリの起動項目に不審なキーがあるかどうかを確認できます。プロセスの知識を知ると、メモリに不審なプログラムがあるかどうかを確認できます。 7.プロの防毒ソフトをインストールして全面的に監視するのが一番いいです。 ウイルス技術が日進月歩している今日では、専門のアンチウイルスソフトを使ってコンピューターを保護するのはやはり情報の安全を保証する一番いい選択です。ユーザーはアンチウイルスソフトをインストールした後、必ずリアルタイム監視機能をオンにし、常に最新のウイルスを防ぐためにアップグレードします。