irc全名為internet relay chat,是一款即時聊天工具,類似網絡聊天室,但功能更強大。
irc沒有國界限製,在國外非常流行。世界頭號黑客kevin mitnick在被fbi通緝流亡期間與外界交流的唯一工具就是irc。國外很多大學,商業機構都架設了irc服務器。普通用戶可以登陸特定的irc服務器與自己的好友交談、傳輸文件,非常方便。irc的客戶端主界面
irc客戶端與服務端通信采用的端口和相應協議是公開的,現在網上有很多irc客戶端軟件,各有特色。同時,也正是由於協議的公開,給了病毒可乘之機。2004年年初,互連網開始大規模出現irc後門病毒,全球的電腦都被籠罩在一個由irc後門織成的網中,各傢殺毒軟件公司對此類病毒極為關註。
irc病毒可以使用戶機器裏的信息完全暴露給黑客,直接造成用戶損失。同時,irc病毒和蠕蟲一樣通過網絡自動傳播,占用大量網絡資源,很容易阻塞局域網,給很多公司的正常業務帶來較大影響。並且,許多irc病毒的源代碼是公開的,一個初學者拿到代碼後衹需少量改動即可編譯出一個新的病毒,再給病毒加上不同的殼,造成irc後門病毒變種不斷涌現,瑞星公司幾乎每天都能截獲10個以上irc病毒變種。
通常,殺毒軟件廠商將這些病毒命名為bot,根據一些特性的不同加上不同的前綴,如:agobot,rbot,sdbot,wootbot等。下面我們以最常見的瑞波病毒(rbot)為例介紹irc病毒。
rbot運行後一般最少開啓兩個綫程:
綫程一負責登陸irc服務器,與黑客進行通信。相信不少讀者用過msn裏面的聊天機器人。你問它一些問題,他會聰明的回答你,不知道的還以為對方是個真人。rbot就是一個類似聊天機器人的病毒。在登陸irc服務器後,它等待其他聊天者嚮它提出問題,其實別人嚮rbot提出的問題就是病毒將要執行的指令。比如:請把機器ip告訴我,結果rbot就獲取本地ip,發送到聊天室,從而暴露了用戶的信息。同理,黑客可以獲得被感染機器上的目錄、文件列表、進程列表、註册表項、遊戲帳號,還可以上傳、下載、執行文件,甚至嚮某臺機器發起dos(拒絶服務)攻擊…… 造成的後果與一般後門無異,但是操縱的形式非常特殊,想抓到幕後元兇也非常睏難。
綫程二負責傳播自己。根據配置情況的不同,rbot病毒體內一般都有弱口令字典,裏面是待匹配的密碼,一些常用的密碼如administrator,123,123456等均包含其中。隨後病毒搜索並嘗試連接本網段及相鄰網段的所有計算機。並嘗試用自帶的口令字典對每個帳戶進行密碼猜解。這個過程需要占用大量的網絡資源,如果一個局域網有多臺機器同時中毒將可能造成整個局域網癱瘓。因此,一定要給本機帳戶設置足夠安全的密碼(大小寫字母、數字以及特殊符號混合)。
不同irc後門病毒之間也是存在一些差別的。比如高波(agobot)病毒具有和衝擊波(worm.blaster)病毒相同的傳播方式,即通過係統服務svchost.exe的dcom漏洞進行傳播。經常會導致svchost.exe非法操作、復製粘貼功能失效,甚至可能導致操作係統60秒倒計時自動重新啓動計算機,給用戶工作帶來不便。 |
|
|