Backdoor.Wrom.IRCBot.MSN蠕虫

病毒名称:Backdoor.Wrom.IRCBot.*

中文别名:MSN蠕虫

文件长度:24576字节

文件MD5:1c90ec1a2143040628e9c6dfd6152b5b

依赖平台:Windows 9X/ME/NT/2K/XP/2K3/vista

       该病毒是MSN最新变种，由VC++编写，通过MSN传播，病毒运行后，在系统目录下生成病毒副本，并常驻进程监听网络，连接指定的IRC服务器，开启后门，等待黑客命令。这包括下载木马、DOS攻击、跳板等，感染的计算机沦为肉机。

1、栲贝病毒压缩包至%Windir%下。

2、释放病毒文件至%Windir%\System\下。并随机命名为系统文件。

3、监听网络，连接202.68.233.72 （香港 特别行政区）

4、判断当前操作系统，若是XP以上系统，则生成注册表项：

SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\

AuthorizedApplications\List

指向自身路径，以此绕过防火墙检测。

5、写入注册表，开机自启：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Server Runtime Server Subsystem = REG_SZ, "C:\winnt\system\csrss.exe "

6、在MSN聊天中，会向好友发送病毒压缩包，并随机发送一些诱人的语言。

解决方法：

1、断开网络，关闭不需要的进程。

2、http://gudugengkekao.ys168.com/下载：

sreng2.5.zip 780KB

3、打开SREng，删除：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

     <Server Runtime Server Subsystem><C:\winnt\system\csrss.exe>   []

4、重启计算机，打开C:\Windows\system目录，删除对应的文件。

注意，文件名不固定。

5、打开C:\Windows\目录，删除病毒压缩包。