MIRC蠕虫手动清除的方法

　　病毒描述：

　　该蠕虫病毒是一个基于irc聊天室的蠕虫，它具有irc聊天服务器功能，通过扫描网上的弱密码传播。

　　传播机理：

　　该病毒的传播机理比较简单，是通过一个批处理命令来实现的。

　　文件的内容如下：

　　从这个批处理文件我们可以很清楚的看出病毒传播的过程，它首先使用系统自带net use命令去测试空口令和弱口令账号的连接，一旦成功便是用psexec命令将fonts.exe文件考到对方的机器上运行。Fonts.exe为一个病毒的打包程序。运行该程序会在 %admin%/fonts/目录下生成一系列文件包括：

　　adobea.exe　(mirc的主程序)

　　adobes.exe　（病毒启动文件）

　　attrib.exe　 （修改文件属性程序）

　　b.exe　　　 （隐藏进程文件）

　　kill.exe　　　（远程杀进程软件）

　　psexec.exe　 （远程执行软件）

　　xdcc.exe　 （未完成的功能的）

　　abc.bat　　　(病毒传播的批处理文件)

　　abc.dll

　　abc2.dll

　　moo.dll　　　(以上三个都为adobea启动时需要的动态库文件)

　　病毒程序执行后会在注册表里添加如下的键值，以便在下次启动时能正常运行：

　　//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run

　　键值：AdobeA　　　　　　　%admin%\fonts\adobes.exe

　　病毒危害：

　　adobea.exe为一个修改过的irc聊天服务程序，它会在后台偷偷的运行，并将本地的信息发往国外的IRC服务器，通过IRC的脚本执行功能，入侵者可以通过其他的IRC服务器来控制被感染的机器使之成为一个功能强大的服务器（功能包括文件传输，网络扫描，DOS攻击等多项功能）

　　检测方法：

　　1）察看系统目录中FONTS目录下是否有病毒的相关文件，WINDOWS默认设置下在FONTS目录下只能看到字体文件，我们可以通过在命令行状态下使用DIR 命令察看。

　　2）察看注册表中的相关键值，看是否有上面所提的%admin%\fonts\adobes.exe键值3）使用NETSTAT –AN命令察看是否有目标端口为6667的连接

　　清除方法：

　　手动清除方法

　　1）使用进程管理功能，杀掉ADOBEA.EXE进程

　　2）到注册表中的

　　//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run

　　项中删除键值：AdobeA　　　　　　　%admin%

　　\fonts\adobes.exe

　　3）清除FONTS目录下的所有蠕虫生成的文件

　　4）重新启动机器

　　相关的杀毒软件升级到最新的病毒库均能查杀次病毒