什么是后门病毒?

电脑教程022

什么是后门病毒?,第1张

后门病毒主要是通过第三方外挂辅助程序投放,给系统开后门,给用户电脑带来安全隐患。可以盗取用户重要文件、监控用户摄像头音频、盗取网游帐号,用户计算机沦为“肉鸡”后,也会被黑客用来攻击服务器等。腾讯电脑管家已能够全面查杀该病毒。

IRC病毒集黑客、蠕虫、后门功能于一体,通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典,用户如不设置密码或密码过于简单都会使系统易受病毒影响。

病毒运行后将自己拷贝到系统目录下(Win 2K/NT/XP操作系统为系统盘的system32,win9x为系统盘的system),文件属性隐藏,名称不定,这里假设为xxx.,一般都没有图标。病毒同时写注册表启动项,项名不定,假设为yyy。病毒不同,写的启动项也不太一样,但肯定都包含这一项:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Run\yyy : xxx.

其他可能写的项有:

HKEY_CURRENT_\Software\Microsoft\Windows\CurrentVersion

\Run\ yyy : xxx.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices\ yyy : xxx.

也有少数会写下面两项:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunOnce\yyy : xxx.

HKEY_CURRENT_\Software\Microsoft\Windows\CurrentVersion

\RunOnce\yyy : xxx.

此外,一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。

病毒每隔一定时间会自动尝试连接特定的IRC服务器频道,为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令,病毒就会在本地执行不同的操作,并将本地系统的返回信息发回聊天室,从而造成用户信息的泄漏。这种后门控制机制是比较新颖的,即时用户觉察到了损失,想要追查黑客也是非常困难。

病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量网络带宽资源,容易造成局域网阻塞,国内不少企业用户的业务均因此遭受影响。

出于保护被IRC病毒控制的计算机的目的,一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己,而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。

手工清除方法

所有的IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的启动项,并且项值只有文件名,不带路径,这给了我们提供了追查的线索。通过下面几步我们可以安全的清除掉IRC病毒。

1、打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项,找出可疑文件的项目。

2、打开任务管理器(按Alt+Ctrl+或在任务栏单击鼠标右键,选择“任务管理器”),找到并结束与注册表文件项相对应的进程。若进程不能结束,则可以切换到安全模式进行操作。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。

3、接着打开“我的电脑”,在“工具”菜单下选择“文件夹选项”,选择“显示所有文件”,然后点击“确定”。再进入系统文件夹,找出可疑文件并将它转移或删除,到这一步病毒就算清除了。

4、最后可手工把注册表里病毒的启动项清除,也可使用瑞星注册表修复工具清除。

后门(Back Door)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除,那么它就成了安全隐患。