“IRC波”病毒之新成员——变种nba

       5月19日，江民反病毒中心截获Backdoor/IRCBot.nba“IRC波”变种nba，今日截获的病毒“IRC波”变种nba是“IRC波”家族中的最新成员之一，“IRC波”变种nba访问网络时，会将恶意代码注入到“explorer.exe”进程中隐秘运行。如果被感染的计算机已安装并启用了防火墙，则该后门会利用白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。“IRC波”变种nba会利用IRC协议（互联网中继聊天）与服务器“api.w*nia.com”建立连接，并与服务器进行命令交互，以此实现远程控制的目的。其可根据服务器发送的指令，以FTP和HTTP的方式下载网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给被感染系统用户造成了更多的侵害。其还会对指定IP发动DDos攻击、向MSN联系人发送带毒压缩文件，从而造成了更大的破坏与威胁。

      据江民反病毒专家介绍，“IRC波”变种采用“Microsoft Visual C++ 6.0”编写。运行后，会在“%SystemRoot%\”文件夹下释放恶意文件“ghdrive32.exe”，在系统盘的“\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\”文件夹下释放恶意文件“syitm.exe”。“IRC波”变种nba在运行完成后会将自身删除，从而达到消除痕迹的目的。另外，“IRC波”变种nba会在被感染系统注册表启动项中添加键值，以此实现自动运行。

      江民反病毒中心建议广大电脑用户谨防病毒侵害，保护个人财产安全。并针对该病毒，江民已于第一时间更新病毒库，请广大用户及时升级查杀。

      江民杀毒软件最新版下载地址http //filedown.jiangmin.com/KV2011/inst.exe（30天免费试用，KV2010用户无需卸载可直接覆盖安装）。或者可以使用江民免费在线查毒系统进行病毒检测：http //online.jiangmin.com/