IRC由來
IRC沒有國界限制,在國外非常流行。世界頭號黑客Kevin Mitnick在被FBI通緝流亡期間與外界交流的唯一工具就是IRC。國外很多大學,商業機構都架設了IRC伺服器。普通用戶可以登入特定的IRC伺服器與自己的好友交談、傳輸檔案,非常方便。
IRC客戶端與服務端通信採用的連線埠和相應協定是公開的,現在網上有很多IRC客戶端軟體,各有特色。同時,也正是由於協定的公開,給了病毒可乘之機。2004年年初,互連網開始大規模出現IRC後門病毒,全球的電腦都被籠罩在一個由IRC後門織成的網中,各家防毒軟體公司對此類病毒極為關注。
IRC病毒可以使用戶機器里的信息完全暴露給黑客,直接造成用戶損失。同時,IRC病毒和蠕蟲一樣通過網路自動傳播,占用大量網路資源,很容易阻塞區域網路,給很多公司的正常業務帶來較大影響。並且,許多IRC病毒的原始碼是公開的,一個初學者拿到代碼後只需少量改動即可編譯出一個新的病毒,再給病毒加上不同的殼,造成IRC後門病毒變種不斷湧現,瑞星公司幾乎每天都能截獲10個以上IRC病毒變種。
通常,防毒軟體廠商將這些病毒命名為bot,根據一些特性的不同加上不同的前綴,如:Agobot,Rbot,Sdbot,Wootbot等。下面我們以最常見的瑞波病毒(Rbot)為例介紹IRC病毒。
Rbot運行後一般最少開啟兩個執行緒:
執行緒一負責登入IRC伺服器,與黑客進行通信。相信不少讀者用過MSN裡面的聊天機器人。你問它一些問題,他會聰明的回答你,不知道的還以為對方是個真人。Rbot就是一個類似聊天機器人的病毒。在登入IRC伺服器後,它等待其他聊天者向它提出問題,其實別人向Rbot提出的問題就是病毒將要執行的指令。比如:請把機器IP告訴我,結果Rbot就獲取本地IP,傳送到聊天室,從而暴露了用戶的信息。同理,黑客可以獲得被感染機器上的目錄、檔案列表、進程列表、註冊表項、遊戲帳號,還可以上傳、下載、執行檔案,甚至向某台機器發起DoS(拒絕服務)攻擊…… 造成的後果與一般後門無異,但是操縱的形式非常特殊,想抓到幕後元兇也非常困難。
執行緒二負責傳播自己。根據配置情況的不同,Rbot病毒體內一般都有弱口令字典,裡面是待匹配的密碼,一些常用的密碼如Administrator,123,123456等均包含其中。隨後病毒搜尋並嘗試連線本網段及相鄰網段的所有計算機。並嘗試用自帶的口令字典對每個帳戶進行密碼猜解。這個過程需要占用大量的網路資源,如果一個區域網路有多台機器同時中毒將可能造成整個區域網路癱瘓。因此,一定要給本機帳戶設定足夠安全的密碼(大小寫字母、數字以及特殊符號混合)。
不同IRC後門病毒之間也是存在一些差別的。比如高波(Agobot)病毒具有和衝擊波(Worm.Blaster)病毒相同的傳播方式,即通過系統服務svchost.exe的DCOM漏洞進行傳播。經常會導致svchost.exe非法操作、複製貼上功能失效,甚至可能導致作業系統60秒倒計時自動重新啟動計算機,給用戶工作帶來不便。
技術報告
IRC病毒集黑客、蠕蟲、後門功能於一體,通過區域網路已分享資料夾和系統漏洞進行傳播。病毒自帶有簡單的口令字典,用戶如不設定密碼或密碼過於簡單都會使系統易受病毒影響。
病毒運行後將自己拷貝到系統目錄下(Win 2K/NT/XP作業系統為系統盤的system32,win9x為系統盤的system),檔案屬性隱藏,名稱不定,這裡假設為xxx。exe,一般都沒有圖示。病毒同時寫註冊表啟動項,項名不定,假設為yyy。病毒不同,寫的啟動項也不太一樣,但肯定都包含這一項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\yyy : xxx。exe
其他可能寫的項有:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\ yyy : xxx。exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\ yyy : xxx。exe
也有少數會寫下面兩項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy : xxx。exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy : xxx。exe
此外,一些IRC病毒在2K/NT/XP下還會將自己註冊為服務啟動。
病毒每隔一定時間會自動嘗試連線特定的IRC伺服器頻道,為黑客控制做好準備。黑客只需在聊天室中傳送不同的操作指令,病毒就會在本地執行不同的操作,並將本地系統的返回信息發回聊天室,從而造成用戶信息的泄漏
這種後門控制機制是比較新穎的,即時用戶覺察到了損失,想要追查黑客也是非常困難。
病毒會掃描當前和相鄰網段內的機器並猜測登入密碼。這個過程會占用大量網路頻寬資源,容易造成區域網路阻塞,國內不少企業用戶的業務均因此遭受影響。
出於保護被IRC病毒控制的計算機的目的,一些IRC病毒會取消匿名登入功能和DCOM功能。取消匿名登入可阻止其他病毒猜解密碼感染自己,而禁用DCOM功能可使系統免受利用RPC漏洞傳播的其他病毒影響。
手工清除方法
所有的IRC後門病毒都會在註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的啟動項,並且項值只有檔案名稱,不帶路徑,這給提供了追查的線索。通過下面幾步可以安全的清除掉IRC病毒。
1、打開註冊表編輯器,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項,找出可疑檔案的項目。
2、打開任務管理器(按Alt+Ctrl+Del或在系統列單擊滑鼠右鍵,選擇“任務管理器”),找到並結束與註冊表檔案項相對應的進程。若進程不能結束,則可以切換到安全模式進行操作。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項選單中,選擇“Safe Mode”或“安全模式”。
3、接著打開“我的電腦”,在“工具”選單下選擇“資料夾選項”,選擇“顯示所有檔案”,然後點擊“確定”。再進入系統資料夾,找出可疑檔案並將它轉移或刪除,到這一步病毒就算清除了。
4、最後可手工把註冊表里病毒的啟動項清除,也可使用瑞星註冊表修復工具清除。
安全建議
良好的安全習慣
不要輕易打開一些來歷不明的郵件及其附屬檔案,不要輕易登入陌生的網站。從網上下載的檔案要先查毒再運行。
關閉不需要的服務
默認情況下,作業系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對大多數用戶沒有用。刪除它們,可以大大減少被攻擊的可能性。
經常升級安全補丁
據統計,大部分網路病毒都是通過系統及IE安全漏洞進行傳播的,如:衝擊波、震盪波、SCO炸彈AC/AD等病毒。如果機器存在漏洞則很可能造成病毒反覆感染,無法清除乾淨。可以使用瑞星防毒軟體附帶的“瑞星漏洞掃描”定期對系統進行檢查。
設定複雜的密碼
有許多網路病毒是通過猜測簡單密碼的方式對系統進行攻擊。因此設定複雜的密碼(大小寫字母、數字、特殊符號混合,8位以上),將會大大提高計算機的安全係數,減少被病毒攻擊的機率。
隔離受感染的
當您的計算機發現病毒或異常情況時應立即切斷網路連線,以防止計算機受到更嚴重的感染或破壞,或者成為傳播源感染其它計算機。
了解反病毒資訊
經常登入信息安全廠商的官方主頁,了解最新的資訊。這樣您就可以及時發現新病毒並在計算機被病毒感染時能夠作出及時準確的處理。比如了解一些註冊表的知識,就可以定期查看註冊表自啟動項是否有可疑鍵值;了解一些程式進程知識,就可以查看記憶體中是否有可疑程式。
安裝防毒軟體
在病毒技術日新月異的今天,使用專業的反病毒軟體對計算機進行防護仍是保證信息安全的最佳選擇。用戶在安裝了反病毒軟體之後,一定要開啟實時監控功能並經常進行升級以防範最新的病毒,這樣才能真正保障計算機的安全
