病毒标签

　　病毒名称： Ba ckdoor.Win32.VB.xl(ipxsrv.exe) Backdoor.Win32.VB.xl(nwlink.exe)

　　病毒类型： WINDOWS下的木马程序

　　危害等级： 高

　　文件长度： nwlink.exe 160,256 字节 Ipxsrv.exe 160,256 字节

　　感染系统： WINDOWS NT以上 版本

　　编写语言： Visual Basic 5.0/6.0

　　病毒描述

　　病毒图标和本地连接的图标类似，借以欺骗用户。 ipxsrv.exe 及 nwlink.exe 不开放端口，从功能上分析类似 IRCBOT 后门控制手法 ，需要满足某种条件后才可被激活，感染后 在 %Windir% System32 中生成 nwlink.exe(160,256 字节)和 Ipxsrv.exe(160,256 字节) 两个文件。开启 NWLink IPX Compatible Transport Protocol 服务。可进行拒绝服务攻击，在进程中增加 nwlink.exe 和 Ipxsrv.exe ，利用客户端可实现，扫描功能，上传文件，下载文件功能，服务端版本升级，获得服务端操作系统版本及语言，处理器型号信息，url信息，以及HTTP，SMTP，SCAN 的相关操作，修改注册表文件。 　

　　HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunServices

　　行为分析

　　1、 IRCX 功能

　　命令 S- ping/pong/IRCX/JOIN/MODE/Creat/join/i/privmsg/kick/nick/app/-close-multi/name

　　部分命令解释：

　　IRCX 命令来获知服务器是否支持 IRCX, 一些带有扩展功能的 IRCX 命令会包含一些额外的参数特别是 /mode 命令带有附加模式，只有 IRCX 服务器才能支持 也可查询服务器与 IRCX 的兼容性。

　　/Create /create 创建一个新的闲聊室，并设置其属性　

　　/Join /Join [] 创建或加入闲聊室