狙击IRC Trojan

http://www.sina.com.cn 2006年03月10日 16:36 赛迪网-网管员世界

　　【赛迪网讯】“IRC Trojan”这个词最早是由CERT组织在1994年提出的。随后，IRC Trojan的数量不断增加、特性不断丰富，其产生的破坏力也不容小觑了。近一两年中出现的僵尸网络（BotNet）事件多与此有关，攻击者常常通过IRC来控制上万台受感染的主机来发动DDoS攻击，这类事件造成的危害也是非常巨大的。本文试图对IRC Trojan进行分析和探讨，希望能有助于提高大家对于IRC Trojan的安全意识和防范能力。

　　IRC Trojan是什么

　　如果从1994年CERT发现的Trojan Horse算起，IRC Trojan已经有11年的历史了。最初的IRC Trojan最主要一个特征就是它会在被感染机器与IRC服务器之间开放一个隐匿的连接，通过这个隐匿连接攻击者可以发送控制命令到受感染的机器，从而遥控受感染的机器执行各种命令。具有这一特征的程序都可以称为IRC Trojan。

　　从这一特征来看，IRC Trojan应该被看作是一个重要的安全风险，因为通过IRC往往可以使一个人方便地同时控制成千上万的机器，最近两年控制几万甚至上百万的机器进行DDoS攻击的事件频频出现，其中散播IRC Trojan就是其中一种常见的控制方法之一。

　　随着技术在不断的更新，许多IRC Trojan借鉴了病毒、蠕虫等的部分技术。IRC Trojan有时候像一个毒，它可以被常见的杀毒软件所发现和清除。实际上，从技术发展趋势来看，Trojan Horse有与蠕虫、木马等相互融合的趋势，即Trojan Horse也开始具备蠕虫的传播复制、病毒的隐藏变体等特征，蠕虫也会包含IRC Trojan以增强其传播和破坏能力。比如：Win32.Mytob.B蠕虫病毒就同时具有IRC Trojan功能，利用IRC Trojan来达到允许未经授权的用户进入并远程控制被感染的机器的目的。

　　传播途径

　　不良攻击者散布IRC Trojan的方法与散布病毒、蠕虫等的方法类似，常见的散布手段包括以下几种：

　　挂站传播：不良攻击者在攻陷网站后，会将IRC Trojan隐藏在含有恶意代码的网页中，当用户访问相关网页时，就会运行恶意代码，从而植入IRC Trojan。

　　邮件传播：不良攻击者也会通过群发邮件的方法，将IRC Trojan隐藏于邮件或附件中，诱使用户打开运行它们，从而植入IRC Trojan。

　　入侵种植：不良攻击者攻陷了主机之后，也可能植入IRC Trojan做后门，以便日后使用。

　　通过IRC：RC-Worm.Mooze. enc、IRC-Worm.Mooze等就是通过修改MIRC的脚本来传播自己的。

　　通过文件共享：它尝试利用管理员弱口令连接网络共享，如果成功，它将自身复制到共享目录中，并运行。所以，在企业局域网中如果你的电脑还没有给管理员设置口令(密码为空)，很容易受到病毒的攻击和感染。

　　蠕虫传播：将IRC Trojan与蠕虫相结合，利用蠕虫的强大传播能力进行传播。

　　软件下载：IRC Trojan会将自己伪装成一些极具诱惑力的软件来诱使你去下载运行，比如：屏幕保护程序、MP3歌曲、图片等，很多用户很可能会下载这些文件去运行，从而感染IRC Trojan。

　　感染目标及危害

　　IRC Trojan针对的目标是普通的家庭用户以及企业中的普通用户，这些用户通常缺乏足够的安全意识以及安全保护措施，比较容易植入IRC Trojan。此外，随着宽带用户的增长，大量电脑长期连接在互联网上，这些对于黑客来说是非常宝贵的资料，所以黑客会想尽方法来感染更多的机器。当然有些管理不慎的服务器也难以幸免。

　　IRC Trojan能通过IRC通讯来传递控制信息、操纵受感染机器执行各种命令的。传播者可能通过IRC Trojan来从事以下活动：

　　◆ 利用受感染机器组成僵尸网络，对目标系统进行各种分布拒绝服务攻击(通过ping，syn，udp等产生拒绝服务攻击)；

　　◆ 利用隐藏的IRC通讯从受感染机器盗取各种文件、数据，系统信息；

　　◆ 利用隐藏的IRC通讯来收集受感染机器及网络的流量数据等；

　　◆ 利用隐藏的IRC通讯来删除、篡改受感染机器上的文件，甚至破坏操作系统；

　　◆ 利用隐藏的IRC通讯来删修改受感染机器上的系统配置，比如开放共享、新建账号等；

　　◆ 利用隐藏的IRC通讯在受感染机器上执行各种命令，比如：终止杀毒软件进程、安装其它程序等。

　　IRC Trojan示例

　　◆ trojan/crypt.e：利用kazaa共享及mirc传播的后门程序。可连接指定IRC服务器，加入指定IRC通道，侦听黑客指令。该后门运行后，自我复制到系统目录及Windows启动目录下，并修改

注册表，以实现病毒程序的开机自启。在kazaa上创建共享目录，并利用某些常用软件的名称将自己复制到kazaa共享目录下，以欺骗他人下载。在系统目录下生成键击日志文件，并将盗取的操作系统信息及IP地址、用户名等信息发送到IRC服务器。另外，该程序可终止某些防火墙及杀毒软件的进程并，可对指定目标执行DOS攻击。

　　◆ backdoor/tometa.a:是用C++编写用upx压缩的后门程序，通过IRC和群发邮件进行传播，并可将用户计算机变为黑客

代理服务器。该后门运行后，修改注册表，实现开机自启。连接特定IRC服务器，并加入一个IRC频道，侦听黑客指令，接收自我卸载、关闭特定链接、访问黑客指定站点等黑客指令。将后门程序作为附件，群发带毒邮件。

　　◆ Trojan.Glitch:又名IRC克隆人，它是用VB语言编写的，拥有许多变种。它的工作流程大致是：首先生成名为stde9.exe的安装包，当这个包运行时，会自动把文件安放到system目录下，并修改注册表的run项，进行自启动。同时，启动mirc程序并将窗口设成隐藏。然后攻击者可以利用mIRC的功能发送控制指令来进行攻击和破坏。

　　◆ trojan/psw.pswsniffer.b:“密码针”是一个可利用微软dcomrpc（MS03-026）等漏洞进行传播的木马。该木马可连接IRC通道，远程控制用户计算机。“密码针”在用户计算机内搜索注册表，若发现用户计算机内装有虚拟机，则不会在此计算机内运行。该木马运行后，自我复制到系统目录下修改注册表，使“密码针”在安全模式下也能启动；开启tcp6556端口，侦听黑客指令，可盗取系统信息；利用记录键击或从缓冲区盗取用户密码信息；终止黑客指定进程；连接黑客指定站点，下载并安装指定程序。

　　从前面几个IRC Trojan示例来看，尽管它们的传播方式各异，有的是利用微软的系统漏洞（psw. pswsniffer.b），有的是利用文件共享，但它们都会与IRC服务器建立一个隐藏的通道，借助这个通道来实现对被感染机器的控制。

　　IRC Trojan的发现和清除

　　杀毒软件、反木马软件、防间谍软件等都可以对IRC Trojan进行查杀，当然这要取决于相应产品的特征库中是否有相关的特征定义，所以使用这些软件不能解决所有的问题。有时可能需要手工进行IRC Trojan的查杀工作。下面就简单介绍一些通用的查杀IRC Trojan的思路和方法。

　　如何发现

　　查IRC Trojan的方法与查一般的病毒、蠕虫、恶意软件的方法差不多。实际上，在真正确认它是一个IRC Trojan之前，能做的事情与查一般的病毒蠕虫是一样的。

　　对于普通用户，通过定期使用杀毒软件、反木马软件、防间谍软件等软件进行检查可以发现一部分的IRC Trojan，另外，这些软件一般都具有实时保护功能，通过实时保护功能可以在第一时间发现一部分的IRC Trojan。实际上，仍有一部分新的IRC Trojan或变体会逃过这些软件。所以除了借助软件，用户还要保持警觉，学会一些其它的判断方法。

　　1.观察进程运行情况，看是否存在未知的进程：如果发现机器上有一个名为rtos.exe的进程在运行的话，那么非常有可能是感染了某种类型的IRC Trojan。

　　2.观察机器的端口开放和连接情况，看是否存在异常的端口和连接。

　　3.留心系统配置文件的变化，比如：Windows的注册表、Unix的/etc目录下的配置文件等。

　　4.留心系统的资源使用情况，看是否有原因不明的繁忙情况出现。

　　5.留心系统中的一些服务是否存在被关闭或运行不稳定等异常情况。

　　6.留心与IRC服务及客户端相关的异常。

　　清除IRC Trojan

　　在确定了感染了IRC Trojan之后，最好的方法是根据其工作原理，手工进行清除。但是这种方法难度和工作量都比较大，所以可以先借助杀毒软件、反木马软件、防间谍软件等软件进行清除。不过不幸的是不是所有的IRC Trojan都能用软件来消除，当软件还没有相关的支持时，就只能通过手工来进行清除。在清除某个IRC Trojan，就必需了解其大致的工作原理，下面举一个例子说明。

　　W32/Rbot-AGG是2005年6月出现的一种Windows平台下的IRC Trojan。其工作原理为：W32/Rbot-AGG首先尝试利用Windows管理员弱口令(比如：密码为空或是几位数字)连接网络共享，如果成功，它将自身复制到共享目录中并运行。W32/Rbot-AGG在第一次运行是会将自己复制到Windows系统目录中命名为winsound.exe，然后修改注册表使winsound.exe在每次启动时自动运行，同时它也会修改Windows的安全配置，降低系统的安全性，开放匿名网络共享以便进行传播。winsound.exe在后台运行，提供后门服务器，允许攻击者通过IRC频道取到对受感染主机的访问和控制。它也可以进行记录键盘、窃取信息、从Internet下载代码等操作。

　　在了解运行原理后，我们就可以手工清除了。

　　1. 搜索winsound.exe文件，并删除；

　　2. 删除相关注册表，比如启动项等；

　　3. 恢复Windows的安全配置，或重新设置；

　　4. 给Windows管理员设置强壮的密码，切断传播途径，以免再次感染。

　　IRC Trojan的防范

　　通过前面对几种IRC Trojan的分析，针对IRC Trojan传播方式、运行机制，笔者提出以下几点防范建议以供大家参考：

　　1. 及时修补Windows的漏洞，以免被IRC Trojan所利用；

　　2. 对于Windows系统、SQL数据库等使用强密码机制，以免被IRC Trojan所利用；

　　3. 备份和保护注册表，可用于IRC Trojan的清除；

　　4. 安装个人防火墙，通过防火墙进行端口过滤，只允许必要的端口流量；

　　5. 安装杀毒软件、反木马软件、防间谍软件等软件，并及时升级；

　　6. 不要运行来历不明的软件，比如：从网上下载的软件、不明来源的邮件附件等；

　　随着现在网络用户的爆炸性增长，IRC Trojan已经成为发动大规模DDoS攻击的重要工具，大量攻击事件的出现必将影响到网络的健康发展，所以每一位网络用户都有责任尽自己的努力来保障自己主机的安全，这也是一种与己与人都有好处的事。(n101)

　　作者：netadmin