2011年5月19日，江民反病毒中心截获Backdoor/IRCBot.nba“IRC波”变种nba，今日截获的病毒“IRC波”变种nba是“IRC波”家族中的最新成员之一，“IRC波”变种nba访问网络时，会将恶意代码注入到“explorer.exe”进程中隐秘运行。如果被感染的计算机已安装并启用了防火墙，则该后门会利用白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。“IRC波”变种nba会利用IRC协议（互联网中继聊天）与服务器“api.w*nia.com”建立连接，并与服务器进行命令交互，以此实现远程控制的目的。其可根据服务器发送的指令，以FTP和HTTP的方式下载网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给被感染系统用户造成了更多的侵害。其还会对指定IP发动DDos攻击、向MSN联系人发送带毒压缩文件，从而造成了更大的破坏与威胁。

　　据江民反病毒专家介绍，“IRC波”变种采用“Microsoft Visual C++ 6.0”编写。运行后，会在“%SystemRoot%”文件夹下释放恶意文件“ghdrive32.exe”，在系统盘的“RECYCLERS-1-5-21-0243556031-888888379-781863308-1413”文件夹下释放恶意文件“syitm.exe”。“IRC波”变种nba在运行完成后会将自身删除，从而达到消除痕迹的目的。另外，“IRC波”变种nba会在被感染系统注册表启动项中添加键值，以此实现自动运行。
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。