一、病毒标签：

　　病毒名称： Backdoor.Win32.PoeBot.s

　　病毒类型： 后门类

　　文件 MD5： 118D96D7139A79FB4D4B4D09E50CC029

　　公开范围： 完全公开

　　危害等级： 4

　　文件长度： 104,960 字节

　　感染系统： windows 98以上版本

　　加壳类型： EXECryptor 2.2.4

　　二、 病毒描述：

　　该病毒为后门类，该病毒运行后，复制自身到系统目录下，使用bat批处理删除原文件。 修改注册表，添加启动项，以达到随机启动的目的。尝试访问相关网站下载其它恶意程序。连接到IRC服务器，等待受控。通过恶意网站、其它病毒/木马下载传播；该病毒可以使用户电脑接受远程控制，电脑信息失去安全保障。

三、 行为分析：

　　1、病毒运行后衍生病毒文件：

　　%System32%\iexplore.exe

　　注：iexplore.exe名子可变，例如：winIogon.exe ，csrs.exe，Isass.exe。

　　2、添加启动项，以达到随机启动的目的：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　键值: 字串: "Microsoft Internet Explorer" = "C:\WINDOWS\system32\iexplore.exe"

　　注：键值与字串随iexplore.exe名子的改变而改变。

　　3、主动连接网络，下载相关病毒文件信息:

　　协议：TCP　

　　地址：220.196.59.106　

　　端口：80　

　　进程：iexplore.exe

　　4、连接IRC地址: 220.196.59.226:8585

　　port: 8585

　　闲聊室: ##cinto##

　　注： 此域名为动态域名

　　5、连接到IRC服务器，等待受控，命令说明如下:

　　IRC命令如：

　　/join <#闲聊室> [该闲聊室的密码]

　　/nick <新别名>

　　/quit [退出连接的理由]

　　......

　　对目标主机的操作：

　　下载文件

　　发起拒绝服务(DDOS)攻击

　　执行IRC命令

　　执行系统扫描

　　注释：

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动系统所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% 当前用户TEMP缓存变量；路径为：

　　%Documents and Settings%\当前用户\Local Settings\Temp

　　%System32% 是一个可变路径；

　　病毒通过查询操作系统来决定当前System32文件夹的位置；

　　Windows2000/NT中默认的安装路径是　C:\Winnt\System32；

　　Windows95/98/Me中默认的安装路径是　C:\Windows\System；

　　WindowsXP中默认的安装路径是　C:\Windows\System32。

　　四、 清除方案：

　　1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。

　　(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

　　(2) 强行删除病毒文件

　　%System32%\iexplore.exe

　　注：iexplore.exe名子可变，例如：winIogon.exe ，csrs.exe，Isass.exe。

　　(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　键值: 字串: "Microsoft Internet Explorer" = "C:\WINDOWS\system32\iexplore.exe"

　　注：键值与字串随iexplore.exe名子的改变而改变