科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道IRC Trojan狙击全攻略

IRC Trojan狙击全攻略

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文试图对IRC Trojan进行分析和探讨,希望能有助于提高大家对于IRC Trojan的安全意识和防范能力。

作者:余海发 来源:网管员世界   2008年7月7日

关键字: IRC Trojan 数据安全 数据保护

  • 评论
  • 分享微博
  • 分享邮件

  IRC Trojan是什么

  如果从1994年CERT发现的Trojan Horse算起,IRC Trojan已经有11年的历史了。最初的IRC Trojan最主要一个特征就是它会在被感染机器与IRC服务器之间开放一个隐匿的连接,通过这个隐匿连接攻击者可以发送控制命令到受感染的机器,从而遥控受感染的机器执行各种命令。具有这一特征的程序都可以称为IRC Trojan。

  从这一特征来看,IRC Trojan应该被看作是一个重要的安全风险,因为通过IRC往往可以使一个人方便地同时控制成千上万的机器,最近两年控制几万甚至上百万的机器进行DDoS攻击的事件频频出现,其中散播IRC Trojan就是其中一种常见的控制方法之一。

  随着技术在不断的更新,许多IRC Trojan借鉴了病毒、蠕虫等的部分技术。IRC Trojan有时候像一个病毒,它可以被常见的杀毒软件所发现和清除。实际上,从技术发展趋势来看,Trojan Horse有与蠕虫、木马等相互融合的趋势,即Trojan Horse也开始具备蠕虫的传播复制、病毒的隐藏变体等特征,蠕虫也会包含IRC Trojan以增强其传播和破坏能力。比如:Win32.Mytob.B蠕虫病毒就同时具有IRC Trojan功能,利用IRC Trojan来达到允许未经授权的用户进入并远程控制被感染的机器的目的。

  传播途径

  不良攻击者散布IRC Trojan的方法与散布病毒、蠕虫等的方法类似,常见的散布手段包括以下几种:

  挂站传播:不良攻击者在攻陷网站后,会将IRC Trojan隐藏在含有恶意代码的网页中,当用户访问相关网页时,就会运行恶意代码,从而植入IRC Trojan。

  邮件传播:不良攻击者也会通过群发邮件的方法,将IRC Trojan隐藏于邮件或附件中,诱使用户打开运行它们,从而植入IRC Trojan。

  入侵种植:不良攻击者攻陷了主机之后,也可能植入IRC Trojan做后门,以便日后使用。

  通过IRC:RC-Worm.Mooze. enc、IRC-Worm.Mooze等就是通过修改MIRC的脚本来传播自己的。

  通过文件共享:它尝试利用管理员弱口令连接网络共享,如果成功,它将自身复制到共享目录中,并运行。所以,在企业局域网中如果你的电脑还没有给管理员设置口令(密码为空),很容易受到病毒的攻击和感染。

  蠕虫传播:将IRC Trojan与蠕虫相结合,利用蠕虫的强大传播能力进行传播。

  软件下载:IRC Trojan会将自己伪装成一些极具诱惑力的软件来诱使你去下载运行,比如:屏幕保护程序、MP3歌曲、图片等,很多用户很可能会下载这些文件去运行,从而感染IRC Trojan。

  感染目标及危害

  IRC Trojan针对的目标是普通的家庭用户以及企业中的普通用户,这些用户通常缺乏足够的安全意识以及安全保护措施,比较容易植入IRC Trojan。此外,随着宽带用户的增长,大量电脑长期连接在互联网上,这些对于黑客来说是非常宝贵的资料,所以黑客会想尽方法来感染更多的机器。当然有些管理不慎的服务器也难以幸免。

  IRC Trojan能通过IRC通讯来传递控制信息、操纵受感染机器执行各种命令的。传播者可能通过IRC Trojan来从事以下活动:

  ◆ 利用受感染机器组成僵尸网络,对目标系统进行各种分布拒绝服务攻击(通过ping,syn,udp等产生拒绝服务攻击);

  ◆ 利用隐藏的IRC通讯从受感染机器盗取各种文件、数据,系统信息;

  ◆ 利用隐藏的IRC通讯来收集受感染机器及网络的流量数据等;

  ◆ 利用隐藏的IRC通讯来删除、篡改受感染机器上的文件,甚至破坏操作系统;

  ◆ 利用隐藏的IRC通讯来删修改受感染机器上的系统配置,比如开放共享、新建账号等;

  ◆ 利用隐藏的IRC通讯在受感染机器上执行各种命令,比如:终止杀毒软件进程、安装其它程序等。

  IRC Trojan示例

  ◆ trojan/crypt.e:利用kazaa共享及mirc传播的后门程序。可连接指定IRC服务器,加入指定IRC通道,侦听黑客指令。该后门运行后,自我复制到系统目录及Windows启动目录下,并修改注册表,以实现病毒程序的开机自启。在kazaa上创建共享目录,并利用某些常用软件的名称将自己复制到kazaa共享目录下,以欺骗他人下载。在系统目录下生成键击日志文件,并将盗取的操作系统信息及IP地址、用户名等信息发送到IRC服务器。另外,该程序可终止某些防火墙及杀毒软件的进程并,可对指定目标执行DOS攻击。

  ◆ backdoor/tometa.a:是用C++编写用upx压缩的后门程序,通过IRC和群发邮件进行传播,并可将用户计算机变为黑客代理服务器。该后门运行后,修改注册表,实现开机自启。连接特定IRC服务器,并加入一个IRC频道,侦听黑客指令,接收自我卸载、关闭特定链接、访问黑客指定站点等黑客指令。将后门程序作为附件,群发带毒邮件。

  ◆ Trojan.Glitch:又名IRC克隆人,它是用VB语言编写的,拥有许多变种。它的工作流程大致是:首先生成名为stde9.exe的安装包,当这个包运行时,会自动把文件安放到system目录下,并修改注册表的run项,进行自启动。同时,启动mirc程序并将窗口设成隐藏。然后攻击者可以利用mIRC的功能发送控制指令来进行攻击和破坏。

  ◆ trojan/psw.pswsniffer.b:“密码针”是一个可利用微软dcomrpc(MS03-026)等漏洞进行传播的木马。该木马可连接IRC通道,远程控制用户计算机。“密码针”在用户计算机内搜索注册表,若发现用户计算机内装有虚拟机,则不会在此计算机内运行。该木马运行后,自我复制到系统目录下修改注册表,使“密码针”在安全模式下也能启动;开启tcp6556端口,侦听黑客指令,可盗取系统信息;利用记录键击或从缓冲区盗取用户密码信息;终止黑客指定进程;连接黑客指定站点,下载并安装指定程序。

  从前面几个IRC Trojan示例来看,尽管它们的传播方式各异,有的是利用微软的系统漏洞(psw. pswsniffer.b),有的是利用文件共享,但它们都会与IRC服务器建立一个隐藏的通道,借助这个通道来实现对被感染机器的控制。

  IRC Trojan的发现和清除

  杀毒软件、反木马软件、防间谍软件等都可以对IRC Trojan进行查杀,当然这要取决于相应产品的特征库中是否有相关的特征定义,所以使用这些软件不能解决所有的问题。有时可能需要手工进行IRC Trojan的查杀工作。下面就简单介绍一些通用的查杀IRC Trojan的思路和方法。

  如何发现

  查IRC Trojan的方法与查一般的病毒、蠕虫、恶意软件的方法差不多。实际上,在真正确认它是一个IRC Trojan之前,能做的事情与查一般的病毒蠕虫是一样的。

  对于普通用户,通过定期使用杀毒软件、反木马软件、防间谍软件等软件进行检查可以发现一部分的IRC Trojan,另外,这些软件一般都具有实时保护功能,通过实时保护功能可以在第一时间发现一部分的IRC Trojan。实际上,仍有一部分新的IRC Trojan或变体会逃过这些软件。所以除了借助软件,用户还要保持警觉,学会一些其它的判断方法。

  1.观察进程运行情况,看是否存在未知的进程:如果发现机器上有一个名为rtos.exe的进程在运行的话,那么非常有可能是感染了某种类型的IRC Trojan。

  2.观察机器的端口开放和连接情况,看是否存在异常的端口和连接。

  3.留心系统配置文件的变化,比如:Windows的注册表、Unix的/etc目录下的配置文件等。

  4.留心系统的资源使用情况,看是否有原因不明的繁忙情况出现。

  5.留心系统中的一些服务是否存在被关闭或运行不稳定等异常情况。

  6.留心与IRC服务及客户端相关的异常。

  清除IRC Trojan

  在确定了感染了IRC Trojan之后,最好的方法是根据其工作原理,手工进行清除。但是这种方法难度和工作量都比较大,所以可以先借助杀毒软件、反木马软件、防间谍软件等软件进行清除。不过不幸的是不是所有的IRC Trojan都能用软件来消除,当软件还没有相关的支持时,就只能通过手工来进行清除。在清除某个IRC Trojan,就必需了解其大致的工作原理,下面举一个例子说明。

  W32/Rbot-AGG是2005年6月出现的一种Windows平台下的IRC Trojan。其工作原理为:W32/Rbot-AGG首先尝试利用Windows管理员弱口令(比如:密码为空或是几位数字)连接网络共享,如果成功,它将自身复制到共享目录中并运行。W32/Rbot-AGG在第一次运行是会将自己复制到Windows系统目录中命名为winsound.exe,然后修改注册表使winsound.exe在每次启动时自动运行,同时它也会修改Windows的安全配置,降低系统的安全性,开放匿名网络共享以便进行传播。winsound.exe在后台运行,提供后门服务器,允许攻击者通过IRC频道取到对受感染主机的访问和控制。它也可以进行记录键盘、窃取信息、从Internet下载代码等操作。

  在了解运行原理后,我们就可以手工清除了。

  1. 搜索winsound.exe文件,并删除;

  2. 删除相关注册表,比如启动项等;

  3. 恢复Windows的安全配置,或重新设置;

  4. 给Windows管理员设置强壮的密码,切断传播途径,以免再次感染。

  IRC Trojan的防范

  通过前面对几种IRC Trojan的分析,针对IRC Trojan传播方式、运行机制,笔者提出以下几点防范建议以供大家参考:

  1. 及时修补Windows的漏洞,以免被IRC Trojan所利用;

  2. 对于Windows系统、SQL数据库等使用强密码机制,以免被IRC Trojan所利用;

  3. 备份和保护注册表,可用于IRC Trojan的清除;

  4. 安装个人防火墙,通过防火墙进行端口过滤,只允许必要的端口流量;

  5. 安装杀毒软件、反木马软件、防间谍软件等软件,并及时升级;

  6. 不要运行来历不明的软件,比如:从网上下载的软件、不明来源的邮件附件等;

  随着现在网络用户的爆炸性增长,IRC Trojan已经成为发动大规模DDoS攻击的重要工具,大量攻击事件的出现必将影响到网络的健康发展,所以每一位网络用户都有责任尽自己的努力来保障自己主机的安全,这也是一种与己与人都有好处的事。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章