指的是IRC后门病毒,IRC全名为Internet Relay Chat,是一款即时聊天工具,类似网络聊天室,但功能更强大。IRC客户端与服务端通信采用的端口和相应协议是公开的,现在网上有很多IRC客户端软件,各有特色。同时,也正是由于协议的公开,给了病毒可乘之机。2004年年初,互连网开始大规模出现IRC后门病毒,全球的电脑都被笼罩在一个由IRC后门织成的网中,各家杀毒软件公司对此类病毒极为关注。
IRC病毒可以使用户机器里的信息完全暴露给黑客,直接造成用户损失。同时,IRC病毒和蠕虫一样通过网络自动传播,占用大量网络资源,很容易阻塞局域网,给很多公司的正常业务带来较大影响。并且,许多IRC病毒的源代码是公开的,一个初学者拿到代码后只需少量改动即可编译出一个新的病毒,再给病毒加上不同的壳,造成IRC后门病毒变种不断涌现,瑞星公司几乎每天都能截获10个以上IRC病毒变种。通常,杀毒软件厂商将这些病毒命名为bot,根据一些特性的不同加上不同的前缀,如:Agobot,Rbot,Sdbot,Wootbot等。下面我们以最常见的瑞波病毒(Rbot)为例介绍IRC病毒。
Rbot运行后一般最少开启两个线程:
线程一负责登陆IRC服务器,与黑客进行通信。相信不少读者用过MSN里面的聊天机器人。你问它一些问题,他会聪明的回答你,不知道的还以为对方是个真人。Rbot就是一个类似聊天机器人的病毒。在登陆IRC服务器后,它等待其他聊天者向它提出问题,其实别人向Rbot提出的问题就是病毒将要执行的指令。比如:请把机器IP告诉我,结果Rbot就获取本地IP,发送到聊天室,从而暴露了用户的信息。同理,黑客可以获得被感染机器上的目录、文件列表、进程列表、注册表项、游戏帐号,还可以上传、下载、执行文件,甚至向某台机器发起DoS(拒绝服务)攻击…… 造成的后果与一般后门无异,但是操纵的形式非常特殊,想抓到幕后元凶也非常困难。
线程二负责传播自己。根据配置情况的不同,Rbot病毒体内一般都有弱口令字典,里面是待匹配的密码,一些常用的密码如Administrator,123,123456等均包含其中。随后病毒搜索并尝试连接本网段及相邻网段的所有计算机。并尝试用自带的口令字典对每个帐户进行密码猜解。这个过程需要占用大量的网络资源,如果一个局域网有多台机器同时中毒将可能造成整个局域网瘫痪。因此,一定要给本机帐户设置足够安全的密码(大小写字母、数字以及特殊符号混合)。
不同IRC后门病毒之间也是存在一些差别的。比如高波(Agobot)病毒具有和冲击波(Worm.Blaster)病毒相同的传播方式,即通过系统服务svchost.exe的DCOM漏洞进行传播。经常会导致svchost.exe非法操作、复制粘贴功能失效,甚至可能导致操作系统60秒倒计时自动重新启动计算机,给用户工作带来不便。
当一个训练有素的程序员设计一个功能较复杂的软件时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,而后门则是一个模块的秘密入口。在程序开发期间,后门的存在是为了便于测试、更改和增强模块的功能。当然,程序员一般不会把后门记入软件的说明文档,因此用户通常无法了解后门的存在。
黑客用来进入你系统电脑,一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失
从2004年初开始在全球网络大规模出现
最常见的:backdoor
后门病毒的前缀是:Backdoor。该类病毒的特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。2004年年初,IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失。由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难。