irc全名为internet relay chat,是一款即时聊天工具,类似网络聊天室,但功能更强大。
irc没有国界限制,在国外非常流行。世界头号黑客kevin mitnick在被fbi通缉流亡期间与外界交流的唯一工具就是irc。国外很多大学,商业机构都架设了irc服务器。普通用户可以登陆特定的irc服务器与自己的好友交谈、传输文件,非常方便。irc的客户端主界面
irc客户端与服务端通信采用的端口和相应协议是公开的,现在网上有很多irc客户端软件,各有特色。同时,也正是由于协议的公开,给了病毒可乘之机。2004年年初,互连网开始大规模出现irc后门病毒,全球的电脑都被笼罩在一个由irc后门织成的网中,各家杀毒软件公司对此类病毒极为关注。
irc病毒可以使用户机器里的信息完全暴露给黑客,直接造成用户损失。同时,irc病毒和蠕虫一样通过网络自动传播,占用大量网络资源,很容易阻塞局域网,给很多公司的正常业务带来较大影响。并且,许多irc病毒的源代码是公开的,一个初学者拿到代码后只需少量改动即可编译出一个新的病毒,再给病毒加上不同的壳,造成irc后门病毒变种不断涌现,瑞星公司几乎每天都能截获10个以上irc病毒变种。
通常,杀毒软件厂商将这些病毒命名为bot,根据一些特性的不同加上不同的前缀,如:agobot,rbot,sdbot,wootbot等。下面我们以最常见的瑞波病毒(rbot)为例介绍irc病毒。
rbot运行后一般最少开启两个线程:
线程一负责登陆irc服务器,与黑客进行通信。相信不少读者用过msn里面的聊天机器人。你问它一些问题,他会聪明的回答你,不知道的还以为对方是个真人。rbot就是一个类似聊天机器人的病毒。在登陆irc服务器后,它等待其他聊天者向它提出问题,其实别人向rbot提出的问题就是病毒将要执行的指令。比如:请把机器ip告诉我,结果rbot就获取本地ip,发送到聊天室,从而暴露了用户的信息。同理,黑客可以获得被感染机器上的目录、文件列表、进程列表、注册表项、游戏帐号,还可以上传、下载、执行文件,甚至向某台机器发起dos(拒绝服务)攻击…… 造成的后果与一般后门无异,但是操纵的形式非常特殊,想抓到幕后元凶也非常困难。
线程二负责传播自己。根据配置情况的不同,rbot病毒体内一般都有弱口令字典,里面是待匹配的密码,一些常用的密码如administrator,123,123456等均包含其中。随后病毒搜索并尝试连接本网段及相邻网段的所有计算机。并尝试用自带的口令字典对每个帐户进行密码猜解。这个过程需要占用大量的网络资源,如果一个局域网有多台机器同时中毒将可能造成整个局域网瘫痪。因此,一定要给本机帐户设置足够安全的密码(大小写字母、数字以及特殊符号混合)。
不同irc后门病毒之间也是存在一些差别的。比如高波(agobot)病毒具有和冲击波(worm.blaster)病毒相同的传播方式,即通过系统服务svchost.exe的dcom漏洞进行传播。经常会导致svchost.exe非法操作、复制粘贴功能失效,甚至可能导致操作系统60秒倒计时自动重新启动计算机,给用户工作带来不便。 |
|
|