- 主题
- 0
- 积分
- 0
- 贝壳
- 0 个
- 注册时间
- 2007-12-31
- 最后登录
- 2007-12-31
|
什么是IRC后门
IRC全名为Internet Relay Chat,是一款即时聊天工具,类似网络聊天室,但功能更强大。
IRC没有国界限制,在国外非常流行。世界头号黑客KevinMitnick在被FBI通缉流亡期间与外界交流的唯一工具就是IRC。国外很多大学,商业机构都架设了IRC服务器。普通用户可以登陆特定的IRC服务器与自己的好友交谈、传输文件,非常方便。IRC的客户端主界面如下图所示:
IRC客户端与服务端通信采用的端口和相应协议是公开的,现在网上有很多IRC客户端软件,各有特色。同时,也正是由于协议的公开,给了病毒可乘之机。2004年年初,互连网开始大规模出现IRC后门病毒,全球的电脑都被笼罩在一个由IRC后门织成的网中,各家杀毒软件公司对此类病毒极为关注。
IRC病毒可以使用户机器里的信息完全暴露给黑客,直接造成用户损失。同时,IRC病毒和蠕虫一样通过网络自动传播,占用大量网络资源,很容易阻塞局域网,给很多公司的正常业务带来较大影响。并且,许多IRC病毒的源代码是公开的,一个初学者拿到代码后只需少量改动即可编译出一个新的病毒,再给病毒加上不同的壳,造成IRC后门病毒变种不断涌现,瑞星公司几乎每天都能截获10个以上IRC病毒变种。
通常,杀毒软件厂商将这些病毒命名为bot,根据一些特性的不同加上不同的前缀,如:Agobot,Rbot,Sdbot,Wootbot等。下面我们以最常见的瑞波病毒(Rbot)为例介绍IRC病毒。
Rbot运行后一般最少开启两个线程:
线程一负责登陆IRC服务器,与黑客进行通信。相信不少读者用过MSN里面的聊天机器人。你问它一些问题,他会聪明的回答你,不知道的还以为对方是个真人。Rbot就是一个类似聊天机器人的病毒。在登陆IRC服务器后,它等待其他聊天者向它提出问题,其实别人向Rbot提出的问题就是病毒将要执行的指令。比如:请把机器IP告诉我,结果Rbot就获取本地IP,发送到聊天室,从而暴露了用户的信息。同理,黑客可以获得被感染机器上的目录、文件列表、进程列表、注册表项、游戏帐号,还可以上传、下载、执行文件,甚至向某台机器发起DoS(拒绝服务)攻击……造成的后果与一般后门无异,但是操纵的形式非常特殊,想抓到幕后元凶也非常困难。
线程二负责传播自己。根据配置情况的不同,Rbot病毒体内一般都有弱口令字典,里面是待匹配的密码,一些常用的密码如Administrator,123,123456等均包含其中。随后病毒搜索并尝试连接本网段及相邻网段的所有计算机。并尝试用自带的口令字典对每个帐户进行密码猜解。这个过程需要占用大量的网络资源,如果一个局域网有多台机器同时中毒将可能造成整个局域网瘫痪。因此,一定要给本机帐户设置足够安全的密码(大小写字母、数字以及特殊符号混合)。
不同IRC后门病毒之间也是存在一些差别的。比如高波(Agobot)病毒具有和冲击波(Worm.Blaster)病毒相同的传播方式,即通过系统服务svchost.exe的DCOM漏洞进行传播。经常会导致svchost.exe非法操作、复制粘贴功能失效,甚至可能导致操作系统60秒倒计时自动重新启动计算机,给用户工作带来不便。
转自:http://www.74hacker.cn/html/3/257.html
|
|