IRC後門

IRC沒有國界限制，在國外非常流行。世界頭號黑客Kevin Mitnick在被FBI通緝流亡期間與外界交流的唯一工具就是IRC。國外很多大學，商業機構都架設了IRC服務器。普通用户可以登陸特定的IRC服務器與自己的好友交談、傳輸文件，非常方便。

IRC客户端與服務端通信採用的端口和相應協議是公開的，網上有很多IRC客户端軟件，各有特色。同時，也正是由於協議的公開，給了病毒可乘之機。2004年年初，互連網開始大規模出現IRC後門病毒，全球的電腦都被籠罩在一個由IRC後門織成的網中，各家殺毒軟件公司對此類病毒極為關注。

IRC病毒可以使用户機器裏的信息完全暴露給黑客，直接造成用户損失。同時，IRC病毒和蠕蟲一樣通過網絡自動傳播，佔用大量網絡資源，很容易阻塞局域網，給很多公司的正常業務帶來較大影響。並且，許多IRC病毒的源代碼是公開的，一個初學者拿到代碼後只需少量改動即可編譯出一個新的病毒，再給病毒加上不同的殼，造成IRC後門病毒變種不斷湧現，瑞星公司幾乎每天都能截獲10個以上IRC病毒變種。

通常，殺毒軟件廠商將這些病毒命名為bot，根據一些特性的不同加上不同的前綴，如：Agobot，Rbot，Sdbot，Wootbot等。下面我們以最常見的瑞波病毒（Rbot）為例介紹IRC病毒。

Rbot運行後一般最少開啓兩個線程：

線程一負責登陸IRC服務器，與黑客進行通信。相信不少讀者用過MSN裏面的聊天機器人。你問它一些問題，他會聰明的回答你，不知道的還以為對方是個真人。Rbot就是一個類似聊天機器人的病毒。在登陸IRC服務器後，它等待其他聊天者向它提出問題，其實別人向Rbot提出的問題就是病毒將要執行的指令。比如：請把機器IP告訴我，結果Rbot就獲取本地IP，發送到聊天室，從而暴露了用户的信息。同理，黑客可以獲得被感染機器上的目錄、文件列表、進程列表、註冊表項、遊戲賬號，還可以上傳、下載、執行文件，甚至向某台機器發起DoS（拒絕服務）攻擊…… 造成的後果與一般後門無異，但是操縱的形式非常特殊，想抓到幕後元兇也非常困難。

線程二負責傳播自己。根據配置情況的不同，Rbot病毒體內一般都有弱口令字典，裏面是待匹配的密碼，一些常用的密碼如Administrator，123，123456等均包含其中。隨後病毒搜索並嘗試連接本網段及相鄰網段的所有計算機。並嘗試用自帶的口令字典對每個賬户進行密碼猜解。這個過程需要佔用大量的網絡資源，如果一個局域網有多台機器同時中毒將可能造成整個局域網癱瘓。因此，一定要給本機賬户設置足夠安全的密碼（大小寫字母、數字以及特殊符號混合）。

不同IRC後門病毒之間也是存在一些差別的。比如高波（Agobot）病毒具有和衝擊波（Worm.Blaster）病毒相同的傳播方式，即通過系統服務svchost.exe的DCOM漏洞進行傳播。經常會導致svchost.exe非法操作、複製粘貼功能失效，甚至可能導致操作系統60秒倒計時自動重新啓動計算機，給用户工作帶來不便。

IRC病毒集黑客、蠕蟲、後門功能於一體，通過局域網共享目錄和系統漏洞進行傳播。病毒自帶有簡單的口令字典，用户如不設置密碼或密碼過於簡單都會使系統易受病毒影響。

病毒運行後將自己拷貝到系統目錄下（Win　2K/NT/XP操作系統為系統盤的system32，win9x為系統盤的system），文件屬性隱藏，名稱不定，這裏假設為xxx。exe，一般都沒有圖標。病毒同時寫註冊表啓動項，項名不定，假設為yyy。病毒不同，寫的啓動項也不太一樣，但肯定都包含這一項：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Run\yyy　：　xxx。exe

其他可能寫的項有：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run\　yyy　：　xxx。exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices\　yyy　：　xxx。exe

也有少數會寫下面兩項：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunOnce\yyy　：　xxx。exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\RunOnce\yyy　：　xxx。exe

此外，一些IRC病毒在2K/NT/XP下還會將自己註冊為服務啓動。

病毒每隔一定時間會自動嘗試連接特定的IRC服務器頻道，為黑客控制做好準備。黑客只需在聊天室中發送不同的操作指令，病毒就會在本地執行不同的操作，並將本地系統的返回信息發回聊天室，從而造成用户信息的泄漏

這種後門控制機制是比較新穎的，即時用户覺察到了損失，想要追查黑客也是非常困難。

病毒會掃描當前和相鄰網段內的機器並猜測登陸密碼。這個過程會佔用大量網絡帶寬資源，容易造成局域網阻塞，國內不少企業用户的業務均因此遭受影響。

出於保護被IRC病毒控制的計算機的目的，一些IRC病毒會取消匿名登陸功能和DCOM功能。取消匿名登陸可阻止其他病毒猜解密碼感染自己，而禁用DCOM功能可使系統免受利用RPC漏洞傳播的其他病毒影響。

所有的IRC後門病毒都會在註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的啓動項，並且項值只有文件名，不帶路徑，這給提供了追查的線索。通過下面幾步可以安全的清除掉IRC病毒。

1、打開註冊表編輯器，定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項，找出可疑文件的項目。

2、打開任務管理器（按Alt+Ctrl+Del或在任務欄單擊鼠標右鍵，選擇“任務管理器”），找到並結束與註冊表文件項相對應的進程。若進程不能結束，則可以切換到安全模式進行操作。進入安全模式的方法是：啓動計算機，在系統進入Windows啓動畫面前，按下F8鍵（或者在啓動計算機時按住Ctrl鍵不放），在出現的啓動選項菜單中，選擇“Safe　Mode”或“安全模式”。

3、接着打開“我的電腦”，在“工具”菜單下選擇“文件夾選項”，選擇“顯示所有文件”，然後點擊“確定”。再進入系統文件夾，找出可疑文件並將它轉移或刪除，到這一步病毒就算清除了。

4、最後可手工把註冊表裏病毒的啓動項清除，也可使用瑞星註冊表修復工具清除。

不要輕易打開一些來歷不明的郵件及其附件，不要輕易登陸陌生的網站。從網上下載的文件要先查毒再運行。

默認情況下，操作系統會安裝一些輔助服務，如　FTP　客户端、Telnet　和　Web　服務器。這些服務為攻擊者提供了方便，而又對大多數用户沒有用。刪除它們，可以大大減少被攻擊的可能性。

據統計，大部分網絡病毒都是通過系統及IE安全漏洞進行傳播的，如：衝擊波、震盪波、SCO炸彈AC/AD等病毒。如果機器存在漏洞則很可能造成病毒反覆感染，無法清除乾淨。可以使用瑞星殺毒軟件附帶的“瑞星漏洞掃描”定期對系統進行檢查。

有許多網絡病毒是通過猜測簡單密碼的方式對系統進行攻擊。因此設置複雜的密碼（大小寫字母、數字、特殊符號混合，8位以上），將會大大提高計算機的安全係數，減少被病毒攻擊的概率。

當您的計算機發現病毒或異常情況時應立即切斷網絡連接，以防止計算機受到更嚴重的感染或破壞，或者成為傳播源感染其它計算機。

經常登陸信息安全廠商的官方主頁，瞭解最新的資訊。這樣您就可以及時發現新病毒並在計算機被病毒感染時能夠作出及時準確的處理。比如瞭解一些註冊表的知識，就可以定期查看註冊表自啓動項是否有可疑鍵值；瞭解一些程序進程知識，就可以查看內存中是否有可疑程序。

在病毒技術日新月異的今天，使用專業的反病毒軟件對計算機進行防護仍是保證信息安全的最佳選擇。用户在安裝了反病毒軟件之後，一定要開啓實時監控功能並經常進行升級以防範最新的病毒，這樣才能真正保障計算機的安全