什么是IRC后门倪...
IRC全名为Internet Relay Chat,是一款即时聊天工具,类似网络聊天室,但功能更强大。<BR><BR> IRC没有国界限制,在国外非常流行。世界头号黑客Kevin Mitnick在被FBI通缉流亡期间与外界交流的唯一工具就是IRC。国外很多大学,商业机构都架设了IRC服务器。普通用户可以登陆特定的IRC服务器与自己的好友交谈、传输文件,非常方便。IRC的客户端主界面如下图所示:<BR><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 21pt"> </P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 21pt"> </P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt; TEXT-INDENT: 21pt"> </P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><SPAN lang=EN-US><?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><v:shapetype id=_x0000_t75 coordsize="21600,21600" o:spt="75" o:preferrelative="t" path="m@4@5l@4@11@9@11@9@5xe" filled="f" stroked="f"><v:stroke joinstyle="miter"></v:stroke><v:formulas><v:f eqn="if lineDrawn pixelLineWidth 0"></v:f><v:f eqn="sum @0 1 0"></v:f><v:f eqn="sum 0 0 @1"></v:f><v:f eqn="prod @2 1 2"></v:f><v:f eqn="prod @3 21600 pixelWidth"></v:f><v:f eqn="prod @3 21600 pixelHeight"></v:f><v:f eqn="sum @0 0 1"></v:f><v:f eqn="prod @6 1 2"></v:f><v:f eqn="prod @7 21600 pixelWidth"></v:f><v:f eqn="sum @8 21600 0"></v:f><v:f eqn="prod @7 21600 pixelHeight"></v:f><v:f eqn="sum @10 21600 0"></v:f></v:formulas><v:path o:extrusionok="f" gradientshapeok="t" o:connecttype="rect"></v:path><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:lock v:ext="edit" aspectratio="t"></o:lock></v:shapetype></SPAN></P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt" align=center><SPAN lang=EN-US><IMG src="http://it.rising.com.cn/image/019/antivirus_07.jpg"><BR></P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"> </P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"> IRC客户端与服务端通信采用的端口和相应协议是公开的,现在网上有很多IRC客户端软件,各有特色。同时,也正是由于协议的公开,给了病毒可乘之机。2004年年初,互连网开始大规模出现IRC后门病毒,全球的电脑都被笼罩在一个由IRC后门织成的网中,各家杀毒软件公司对此类病毒极为关注。</P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><BR> IRC病毒可以使用户机器里的信息完全暴露给黑客,直接造成用户损失。同时,IRC病毒和蠕虫一样通过网络自动传播,占用大量网络资源,很容易阻塞局域网,给很多公司的正常业务带来较大影响。并且,许多IRC病毒的源代码是公开的,一个初学者拿到代码后只需少量改动即可编译出一个新的病毒,再给病毒加上不同的壳,造成IRC后门病毒变种不断涌现,某家病毒软件公司几乎每天都能截获10个以上IRC病毒变种。</P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt">通常,杀毒软件厂商将这些病毒命名为bot,根据一些特性的不同加上不同的前缀,如:Agobot,Rbot,Sdbot,Wootbot等。下面我们以最常见的瑞波病毒(Rbot)为例介绍IRC病毒。</P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><BR> Rbot运行后一般最少开启两个线程:</P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"> 线程一负责登陆IRC服务器,与黑客进行通信。相信不少读者用过MSN里面的聊天机器人。你问它一些问题,他会聪明的回答你,不知道的还以为对方是个真人。Rbot就是一个类似聊天机器人的病毒。在登陆IRC服务器后,它等待其他聊天者向它提出问题,其实别人向Rbot提出的问题就是病毒将要执行的指令。比如:请把机器IP告诉我,结果Rbot就获取本地IP,发送到聊天室,从而暴露了用户的信息。同理,黑客可以获得被感染机器上的目录、文件列表、进程列表、注册表项、游戏帐号,还可以上传、下载、执行文件,甚至向某台机器发起DoS(拒绝服务)攻击…… 造成的后果与一般后门无异,但是操纵的形式非常特殊,想抓到幕后元凶也非常困难。<BR></P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"> 线程二负责传播自己。根据配置情况的不同,Rbot病毒体内一般都有弱口令字典,里面是待匹配的密码,一些常用的密码如Administrator,123,123456等均包含其中。随后病毒搜索并尝试连接本网段及相邻网段的所有计算机。并尝试用自带的口令字典对每个帐户进行密码猜解。这个过程需要占用大量的网络资源,如果一个局域网有多台机器同时中毒将可能造成整个局域网瘫痪。因此,一定要给本机帐户设置足够安全的密码(大小写字母、数字以及特殊符号混合)。<BR></P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"> 不同IRC后门病毒之间也是存在一些差别的。比如高波(Agobot)病毒具有和冲击波(Worm.Blaster)病毒相同的传播方式,即通过系统服务svchost.exe的DCOM漏洞进行传播。经常会导致svchost.exe非法操作、复制粘贴功能失效,甚至可能导致操作系统60秒倒计时自动重新启动计算机,给用户工作带来不便。</P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"> </P><P class=MsoNormal style="MARGIN: 0cm 0cm 0pt">好玩吗? 真好玩....<IMG src="images/Emotions/10.gif"></SPAN></P> <IMG src="http://bbs.rdzjw.com/images/Emotions/52.gif">怕啊!还好玩呢!<IMG src="http://bbs.rdzjw.com/images/Emotions/10.gif">
页:
[1]