蠕虫病毒Win32.Nirbot.A

其它名称：W32/Backdoor.VZB (F-Secure), Backdoor.Win32.IRCBot.yc (Kaspersky), Troj/IRCBot-TC (Sophos), Win32/Nirbot.A!Worm, W32.Spybot.Worm (Symantec)

病毒属性：蠕虫病毒 危害性：中等危害 流行程度：中

具体介绍：

病毒特性：

Win32/Nirbot.A是一种IRC控制的后门，能够未经授权的访问被感染机器，它还会显示类似蠕虫的功能。

感染方式：

第一次运行时，Nirbot.A复制到以下位置：

%System%lemsrv.exe

并设置以下注册表键值，以确保在每次系统启动时运行病毒：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunLEMSRV = "%System%lemsrv.exe"

Nirbot.A不断的查找并设置以上注册表键值。

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32； 95，98 和 ME 的是C:WindowsSystem； XP 的是C:WindowsSystem32。

传播方式:

通过后门控制手工启动传播。

Nirbot.A以扫描易受攻击的目标机器开始传播程序。蠕虫为目标IP地址生成任意值。

Nirbot.A通过攻击Microsoft Windows Server Service (MS06-040)漏洞进行传播。如果攻击成功，它会在目标机器上运行一个很小的代码，用来连接后面的源，从而获取蠕虫的可运行程序。为了能够给目标提供蠕虫副本，蠕虫在源机器上运行一个HTTP服务器。如果在网络上攻击机器，并不能通过新的攻击主机到达，它就会从66.29.116.82 IP地址获取蠕虫副本。

可以到以下站点下载相关的漏洞补丁：

http://www.microsoft.com/china/technet/security/bulletin/ms06-040.mspx

危害：

后门功能

Nirbot.A是一种IRC控制的后门，为了能够控制被感染的机器，它尝试连接到一个预先确定的IRC服务器所在的域phatcamp.org，并加入特定的信道。一旦被感染机器被控制住，黑客就可能指示Nirbot.A执行以下恶意操作：

获取系统信息，例如操作系统的详细信息；

从Internet下载并运行文件；

在被感染机器上运行一个 SOCKS 代理；

执行拒绝服务攻击；

在被感染机器上运行命令；

更新病毒；

删除病毒。

清除：

KILL安全胄甲InoculateIT 23.73.84，Vet 30.3.3246版本可检测/清除此病毒。