近來(lái)有用戶向我們反映，系統(tǒng)感染了Win32/IRCBot.worm.64512.P的病毒，而不知道如何處理，我們的編輯搜集了相關(guān)的資料，希望能夠?qū)Υ蠹矣兴鶐椭?

　　Win32/IRCBot.worm.64512.P仍然是Win32/IRCBot.worm 蠕蟲的變種之一。該蠕蟲試圖利用Windows的漏洞和SQL數(shù)據(jù)庫(kù)中SA用戶設(shè)置的密碼過(guò)于簡(jiǎn)單的漏洞來(lái)傳播。運(yùn)行該程序會(huì)在Windows系統(tǒng)目錄下生成wipv6.exe（64,512 bytes）和msdirectx.sys（6,656 bytes）文件。打開(kāi)任意的TCP端口并試圖從特定IRC服務(wù)器連接并以以管理者（Operator）的身份執(zhí)行惡意控制。

中毒后的癥狀可以如下：

　　運(yùn)行后顯示如下癥狀：

　　在Window 系統(tǒng)目錄下生成如下文件：

　　C:\Windows 系統(tǒng)目錄\wipv6.exe (64,512 bytes)
　　C:\Windows 系統(tǒng)目錄\msdirectx.sys (6,656 bytes)

　　注意：windows系統(tǒng)文件夾的類型以版本不同有差異。在Windows 95/98/Me 下C:\Windows\System, windows NT/2000, C:\WinNT\System32，windows XP是C:\Windows\System32 文件夾。

　　更改注冊(cè)表當(dāng)系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行：

　　HKEY_CURRENT_USER\Software\Microsoft\OLE
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Run
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\RunServices
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\Ole
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_USERS\用戶賬戶的 S-id 值\Software\Microsoft\OLE
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_USERS\用戶賬戶的 S-id 值\Software\Microsoft\Windows\CurrentVersion\Run
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_USERS\用戶賬戶的 S-id 值\Software\Microsoft\Windows\CurrentVersion\RunServices
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_USERS\用戶賬戶的 S-id 值\SYSTEM\CurrentControlSet\Control\Lsa
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdirectx
　　ImagePath = \??\C:\Windows 系統(tǒng)目錄\msdirectx.sys

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx
　　ImagePath = \??\C:\Windows 系統(tǒng)目錄\msdirectx.sys

　　一般可運(yùn)行的惡性功能如下

運(yùn)行文件以及刪除 (運(yùn)行其它蠕蟲, 病毒)
下載文件以及裝入(盜取機(jī)密文件)
強(qiáng)制結(jié)束特定進(jìn)程
確認(rèn)系統(tǒng)信息 (泄露用戶信息)
搜索網(wǎng)路
強(qiáng)制解除共享文件夾
強(qiáng)制結(jié)束系統(tǒng)的 DCOM 服務(wù)
MS-SQL 數(shù)據(jù)庫(kù)中運(yùn)行 xp_cmdshell 進(jìn)程
　　解決方案：安博士相關(guān)內(nèi)容（_view.asp?id=505">點(diǎn)擊鏈接）

　　相關(guān)下載：

_366.html">Win32/IRCBot.worm專殺工具

_125.html">安博士最新病毒庫(kù)Win32/IRCBot.worm 2004.11.15

　　另外以下是曾經(jīng)出現(xiàn)過(guò)的Win32/IRCBot.worm的一些變種，如果出現(xiàn)以下癥狀的用戶可以到相關(guān)的網(wǎng)址去找到解決方案。

Win32/IRCBot.worm.108032.I

Win32/IRCBot.worm.159744

Win32/IRCBot.worm.103832

Win32/IRCBot.worm.108544.L