什么是IRC后门IRC全名为Internet Relay Chat，是一款即时聊天工具，类似网络聊天室，但功能更强大。 IRC没有国界限制，在国外非常流行。世界头号黑客Kevin Mitnick在被FBI通缉流亡期间与外界交流的唯一工具就是IRC。国外很多大学，商业机构都架设了IRC服务器。普通用户可以登陆特定的IRC服务器与自己的好友交谈、传输文件，非常方便。IRC的客户端主界面如下图所示：

Worm.Win32.Autorooter这是一个多组件构成的Win32蠕虫，它被设计成通过本地或互联网进行传播，在当前版本中它的传播历程已经停止。它的名字来源于自身的主要组件的文本字符串rpc autorooter by ERICRPC autorooterAutorooter利用Windows的DCOM RPC服务的漏洞，在Microsoft Security Bulletin MS03-026中有关于该漏洞的详细描述。它是Win32 SFX ZIP自解压包，约为114KB，含有以下三个文件：· rpc.exe - 41KB, 主要组件，检测为Worm.Win32.Autorooter · tftpd.exe - 144KB, 合法的FTP服务器· rpctest.exe - 95KB,开发工具，检测为Exploit.Win32.DComSFX压缩包自解压后会在C：根目录下释放以上三个文件，并动行rpc.exe主要组件 rpc.exe Rpc.exe组件会运行tftpd.exe并设法从远程站点上下载lolx.exe文件，lolx.exe是典型的后门程序，它会被AVP检测为Backdoor.SdBot.gen病毒然后该蠕虫会设法通过445端口与随机产生的IP地址产生连接，这个随机的IP地址(a.b.c.d)通过以下的算法产生：'a'值会从以下的数值列表中选择：24, 12, 211, 217, 218, 220, 4, 68, 165, 65, 213, 64, 208, 128'b'值在0到255之间随时选择，'c' 'd'的值是1到255中的所有数值。例如：如果'a'是68，'b'是120，那么该蠕虫就会在68.120.0.1 - 68.120.255.255这个范围内尝试连接所有的机器。它通过445端口连接到远程计算机，然后把rpctest.exe文件传送给对方，这个组件将造成感染机器的缓冲区溢出，并通过57005端口打开远程计算机的shell界面。rpctest.exe 组件这是一个开发工具，它含有以下文本字符串： USE THE FORZ LUKE!tftd.exe 组件 这是一个合法的HaneWin TFTP服务器，它开放69端口下载后门程序。总结 尽管这个蠕虫病毒并不含有自动复制的功能，我们仍然定位它是一个在蠕虫类型病毒，因为它表现的蠕虫特性比后门程序或黑客工具更多一些。我们相信现在的这个版本仅仅是个测试版，在新版中它会含有足够的自我复制能力，病毒作者可能的目标是先广泛散布该病毒，为将来利用。强烈建议： · 打上相关补丁 ：http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx· 在防火墙上阻止 TCP 135, 139和445端口

病毒杀不死的原因分析 和相应对策一、病毒杀不死的原因 　　经常听人说，病毒软件报告杀死了某某病毒，可是重新启动后该病毒仍旧存在，无法杀死。病毒杀不死的原因主要有： 　　1.病毒正在运行。由于Windows保护正在运行的程序，所以杀毒软件是无法杀死正在运行的病毒。即使是真的杀死了病毒，电脑正常关机时内存中活动的病毒还会再复制一个病毒到硬盘上。 　　2.病毒隐藏在系统还原的文件夹“_restore”中。 　　二、对策 　　1.在Windows中杀毒前首先得中止病毒进程。对于WindowsXp/2000，可以使用任务管理器(Ctrl+Alt+Del三键齐按)来查看当前所有的进程，而对于Windows98/Me，则可以使用“黑客入门工具箱”或ATM来查看进程。确定哪个是来历不明的就停止掉或者看哪个不顺眼就停止哪个，该过程俗称“杀进程”。 　　不要怕出错，因为不会对电脑造成任何损坏，最多就是死机。注意，杀进程的操作有时得进行两次才成功。有的病毒有两个进程，互相保护，杀掉一个则会被另一个发现并恢复。此时应先把该病毒在注册表中的启动项去掉，然后用突然断电的方式重启电脑，再杀毒。 　　2.在Windows中使用专杀工具杀毒。得使用最新的杀毒版本。 　　3.禁用系统还原。在WindowsMe中禁用方法是∶鼠标右键点击“我的电脑”-属性-性能-文件系统-疑难解答-禁止系统还原。在WindowsXP中禁用方法是∶控制面板-系统-系统属性-系统还原-在所有驱动器上关闭系统还原。然后用软盘或U盘启动电脑，在dos下删除_RESTORE文件夹。 　　4.在Dos下杀毒不存在杀不死的问题。一般的杀毒软件都可以制作软盘版(含至少3张软盘)，用第一张盘启动(CMOS中必须设定软盘启动在前)后按提示陆续放入其它盘就可以直接杀毒了。　　5.补充操作。病毒杀死后还应该修复注册表。

详述防止IE浏览器被恶意修改的小技巧 修改IE的标题栏:即在IE浏览器最上方的蓝色横条里做广告，而不是显示默认的“Microsoft Internet Explorer”。这种修改非常常见，有人也特意针对它编制了反修改的程序。 注册表位置 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main在注册表中找到以上两处主键，将其下的“Window Title”主键删除，并关闭所有打开的IE浏览器窗口再重新打开就能看到效果。 修改IE的首页 这个改回来很方便，在IE的设置里就有(Internet选项->常规->主页)。比较麻烦的是某些网页在浏览者的硬盘里写入程序，使重启计算机后首页设置又被改了回去，这时可使用“系统配置实用程序”来解决。开始—运行，键入msconfig点击“确定”，在弹出的窗口中切换到“启动”选项卡，禁用可疑的程序启动项。 在Windows启动时显示一个窗口，点确定才能进去 这个设置其实与IE无关，而是Windows的登录提示窗口，不过最近有些网页对它动上了脑筋，在这个窗口里做广告。 注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon在注册表中找到此主键，将其下的“LegalNoticeCaption”和“LegalNoticeText”主键删除即可。 在IE里点击鼠标右键。在弹出的菜单里显示网页广告 这种情况很少见，不过解决方法也不复杂。 注册表 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt在IE中显示的附加右键菜单都在这里设置，常见的网络蚂蚁和网际快车点击右键下载的信息也存放在这里，只需找到显示广告的主键条目删除即可。 禁止或允许用户修改IE首页:　 运行注册表编辑器(开始菜单－运行－regedit-确定), 打开HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel, 其实一般此键是不存在的, 只存在 HKEY_CURRENT_USER\Software\Policies\Microsoft, 所以后面一截你要自己建立, 主键建立完后在Control Panel键下新建一个DWORD值数据, 键名为HOMEPAGE(不分大小写), 键值为1. 此时你打开IE属性时可以发现它改首页设置的部分已经不可用了. 当然如果你想先指定主页的话可以把HOMEPAGE的值改为0或删除它, 然后修改主页设置, 再把HOMEPAGE改回来即可 去掉注册表编辑器被锁定问题 win2000系统 Windows Registry Editor Version 5.00 [Hkey_current_user\Software\microsoft\windows\currentversion\Policies\system] "DisableRegistryTools"=dword:00000000 win98/me系统 REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 将以上代码copy到记事本中,然后将这个文件的名字改为*.reg双击运行可以解除你的锁定状态. 防范 1.因为修改注册表设置都是用的JavaScript脚本语言，所以只需禁用它即可。但这种脚本语言应用广泛，所以建议在IE的设置中将脚本设为“提示”。 2.建议使用一些单窗口多页面的浏览器如NetCaptor,myie等，因为它们往往能更方便地切换脚本设置，象我常用的NetCaptor，用工具栏中的“安全”按钮能很方便地设置脚本、ActiveX和Cookie的启用情况。 3.使用Win2000的朋友，只需在“控制面板”—“管理工具”—“服务”中禁用Remote Registry Service服务，也无法通过浏览网页来修改你的注册表了。

提防网游病毒 网游“盗号”三大骗术简介 网络游戏玩家的账号被恶意盗窃，装备被盗卖，这样的事发生得实在太多了。我们时不时地就可以看到这样的新闻：“黑客在网吧机器中植入木马病毒，企图盗窃网络游戏账号……” 网络游戏世界里，一件极品装备不知要花费玩家多少金钱、心血和不眠之夜，因此，玩家最为担心的事情，莫过于自己的虚拟人物身份被冒用，以及虚拟物品在游戏世界中被盗窃。怎么能做到有效防盗？除去在网吧被人偷看账号和密码等人为盗号之外，网络游戏“盗号”大体有以下三大骗术： 　　 骗术一用木马盗取玩家账号、密码。这是比较普遍的情况，尤其是在网吧这样的公共上网场所。有人故意在机器上设计木马程序，等其他人在这台机器上玩网络游戏的时候，木马程序会偷下账号、密码等敏感信息，保存在本地的隐秘文件中，或者通过网络发送到特定的邮箱中(以后者情况居多)。 骗术二通过远程控制方式，盗号人可以远程查看、控制本地的机器，从而拦截用户的输入，窃取账号、密码。 骗术三通过系统漏洞，在本机植入木马或者远程控制工具，然后通过第二种和第三种方式进行盗号活动。 防骗手段安装专业的防毒软件进行全面监控；定期到微软网站去下载最新的安全补丁，以防范未然；使用复杂的密码，开启防火墙。

这都是列出来让大家看看，如果有用得着的可以参考一下。