近來有用戶向我們反映，系統感染了Win32/IRCBot.worm.64512.P的病毒，而不知道如何處理，我們的編輯搜集了相關的資料，希望能夠對大家有所幫助。

　　Win32/IRCBot.worm.64512.P仍然是Win32/IRCBot.worm 蠕蟲的變種之一。該蠕蟲試圖利用Windows的漏洞和SQL數據庫中SA用戶設置的密碼過于簡單的漏洞來傳播。運行該程序會在Windows系統目錄下生成wipv6.exe（64,512 bytes）和msdirectx.sys（6,656 bytes）文件。打開任意的TCP端口并試圖從特定IRC服務器連接并以以管理者（Operator）的身份執行惡意控制。

中毒后的癥狀可以如下：

　　運行后顯示如下癥狀：

　　在Window 系統目錄下生成如下文件：

　　C:\Windows 系統目錄\wipv6.exe (64,512 bytes)
　　C:\Windows 系統目錄\msdirectx.sys (6,656 bytes)

　　注意：windows系統文件夾的類型以版本不同有差異。在Windows 95/98/Me 下C:\Windows\System, windows NT/2000, C:\WinNT\System32，windows XP是C:\Windows\System32 文件夾。

　　更改注冊表當系統啟動時自動運行：

　　HKEY_CURRENT_USER\Software\Microsoft\OLE
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Run
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\RunServices
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\Ole
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_USERS\用戶賬戶的 S-id 值\Software\Microsoft\OLE
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_USERS\用戶賬戶的 S-id 值\Software\Microsoft\Windows\CurrentVersion\Run
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_USERS\用戶賬戶的 S-id 值\Software\Microsoft\Windows\CurrentVersion\RunServices
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_USERS\用戶賬戶的 S-id 值\SYSTEM\CurrentControlSet\Control\Lsa
　　Windows IPv6 Drivers = wipv6.exe

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdirectx
　　ImagePath = \??\C:\Windows 系統目錄\msdirectx.sys

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx
　　ImagePath = \??\C:\Windows 系統目錄\msdirectx.sys

　　一般可運行的惡性功能如下

運行文件以及刪除 (運行其它蠕蟲, 病毒)
下載文件以及裝入(盜取機密文件)
強制結束特定進程
確認系統信息 (泄露用戶信息)
搜索網路
強制解除共享文件夾
強制結束系統的 DCOM 服務
MS-SQL 數據庫中運行 xp_cmdshell 進程
　　解決方案：安博士相關內容（_view.asp?id=505">點擊鏈接）

　　相關下載：

_366.html">Win32/IRCBot.worm專殺工具

_125.html">安博士最新病毒庫Win32/IRCBot.worm 2004.11.15

　　另外以下是曾經出現過的Win32/IRCBot.worm的一些變種，如果出現以下癥狀的用戶可以到相關的網址去找到解決方案。

Win32/IRCBot.worm.108032.I

Win32/IRCBot.worm.159744

Win32/IRCBot.worm.103832

Win32/IRCBot.worm.108544.L