2004年年初，IRC后门病毒开始在全球 *** 大规模出现。一方面有潜在的泄漏本地信息的危险，另一方面病毒出现在局域网中使 *** 阻塞，影响正常工作，从而造成损失。  

同时，由于病毒的源代码是公开的，任何人拿到源码后稍加修改就可编译生成一个全新的病毒，再加上不同的壳，造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形，给病毒查杀带来很大困难。本文先从技术角度介绍IRC后门病毒，然后介绍其手工清除 *** 。  

一、技术报告  

IRC病毒集黑客、蠕虫、后门功能于一体，通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典，用户如不设置密码或密码过于简单都会使系统易受病毒影响。  

病毒运行后将自己拷贝到系统目录下(Win 2K/NT/XP操作系统为系统盘的system32，win9x为系统盘的system)，文件属性隐藏，名称不定，这里假设为xxx.exe，一般都没有图标。病毒同时写注册表启动项，项名不定，假设为yyy。病毒不同，写的启动项也不太一样，但肯定都包含这一项：  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion  
\Run\yyy : xxx.exe  
其他可能写的项有：  
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion  
\Run\ yyy : xxx.exe  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion  
\RunServices\ yyy : xxx.exe  
也有少数会写下面两项：  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion  
\RunOnce\yyy : xxx.exe  
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion  
\RunOnce\yyy : xxx.exe  
此外，一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。  

病毒每隔一定时间会自动尝试连接特定的IRC服务器频道，为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令，病毒就会在本地执行不同的操作，并将本地系统的返回信息发回聊天室，从而造成用户信息的泄漏。这种后门控制机制是比较新颖的，即时用户觉察到了损失，想要追查黑客也是非常困难。  

病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量 *** 带宽资源，容易造成局域网阻塞，国内不少企业用户的业务均因此遭受影响。  

出于保护被IRC病毒控制的计算机的目的，一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己，而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。  

二、手工清除 ***   

所有的IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的启动项，并且项值只有文件名，不带路径，这给了我们提供了追查的线索。通过下面几步我们可以安全的清除掉IRC病毒。  

1、打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项，找出可疑文件的项目。  

2、打开任务管理器（按Alt+Ctrl+Del或在任务栏单击鼠标右键，选择“任务管理器”），找到并结束与注册表文件项相对应的进程。若进程不能结束，则可以切换到安全模式进行操作。进入安全模式的 *** 是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。