病毒簡(jiǎn)介: 
     病毒名稱：mdesvc.exe\Backdoor.Win32.IRCBot
　　中文別名：MSN蠕蟲
　　文件長(zhǎng)度：10752 byte
　　文件MD5：633fc2332287108885ba0633efd81601
　　依賴平臺(tái)：Win 9X/ME/NT/2K/XP/2K3


病毒分析:

　　1、釋放病毒副本：

　　%Systemroot%\system32\mdesvc.exe 10752 字節(jié)

　　2、添加注冊(cè)表，開機(jī)啟動(dòng)：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　注冊(cè)表值Logical Disk Detection = REG_SZ, "mdesvc.exe "

　　3、連接80.93.214.**，應(yīng)該是IRC的服務(wù)器，接受遠(yuǎn)程控制。

　　4、感染病毒的計(jì)算機(jī)可以對(duì)IRC的下列命令做出響應(yīng)：


　　
Code:
PART

　　JOIN

　　QUIT :Removing

　　QUIT :Reconnecting

　　PONG

　　SYNC

　　…………


　　5、另外該MSN蠕蟲變種可能源Yahoo Messenger（雅虎通）傳播。


　　6、會(huì)查找MSN上的好友，可能發(fā)送病毒包和一些言語(yǔ)。

　　7、病毒體全部釋放后，會(huì)調(diào)用CMD刪除自身。


　　解決方法：

　　1、下載：SREng

　　2、打開SREng，刪除(如下圖)：



　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　注冊(cè)表值Logical Disk Detection = REG_SZ, "mdesvc.exe "

　　3、重啟電腦，刪除：

　　%Systemroot%\system32\mdesvc.exe 10752 字節(jié)

搞定病毒