Backdoor.Win32.IRCbot.vim（mdesvc.exe）

病毒名称：mdesvc.exe\Backdoor.Win32.IRCBot

 

中文别名：MSN蠕虫

 

文件长度：10752 byte

 

文件MD5：633fc2332287108885ba0633efd81601

 

依赖平台：Win 9X/ME/NT/2K/XP/2K3

 

1、释放病毒副本：

 

%Systemroot%\system32\mdesvc.exe 10752 字节

 

2、添加注册表，开机启动：

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

注册表值Logical Disk Detection = REG_SZ, "mdesvc.exe "

 

3、连接80.93.214.**，应该是IRC的服务器，接受远程控制。

 

4、感染病毒的计算机可以对IRC的下列命令做出响应：

PART

JOIN

QUIT :Removing

QUIT :Reconnecting

PONG

SYNC

…………

 

5、另外该MSN蠕虫变种可能源Yahoo Messenger（雅虎通）传播。

 

哈哈，测试的环境太差了，没办法证实。

 

6、会查找MSN上的好友，可能发送病毒包和一些言语。（未验证）

 

7、病毒体全部释放后，会调用CMD删除自身。

 

解决方法：

 

1、下载：

 

[url]http://www.kingzoo.com/tools/[/url]孤独更可靠/sreng2.5.zip

 

2、打开SREng，删除：

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

注册表值Logical Disk Detection = REG_SZ, "mdesvc.exe "

 

3、重启电脑，删除：

 

%Systemroot%\system32\mdesvc.exe 10752 字节

 

AD：上述方法无法清除的请发送病毒压缩包至 [email protected] ，可以的话加密``

 

反毒交流群:49421509