IRC后门病毒发表评论(0)编辑词条

后门病毒中毒界面图

2004年年初，IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险，另一方面病毒出现在局域网中使网络阻塞，影响正常工作，从而造成损失。由于病毒的源代码是公开的，任何人拿到源码后稍加修改就可编译生成一个全新的病毒，再加上不同的壳，造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形，给病毒查杀带来很大困难。

后门病毒清除解决方安图

IRC病毒集黑客、蠕虫、后门功能于一体，通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典，用户如不设置密码或密码过于简单都会使系统易受病毒影响。　

病毒运行后将自己拷贝到系统目录下（Win　2K／NT／XP操作系统为系统盘的system32，win9x为系统盘的system），文件属性隐藏，名称不定，这里假设为xxx。exe，一般都没有图标。病毒同时写注册表启动项，项名不定，假设为yyy。病毒不同，写的启动项也不太一样，但肯定都包含这一项：　

HKEY＿LOCAL＿MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion　
＼Run＼yyy　：　xxx。exe　

其他可能写的项有：　

HKEY＿CURRENT＿USER＼Software＼Microsoft＼Windows＼CurrentVersion　
＼Run＼　yyy　：　xxx。exe　
HKEY＿LOCAL＿MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion　
＼RunServices＼　yyy　：　xxx。exe　

也有少数会写下面两项：　

HKEY＿LOCAL＿MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion　
＼RunOnce＼yyy　：　xxx。exe　
HKEY＿CURRENT＿USER＼Software＼Microsoft＼Windows＼CurrentVersion　
＼RunOnce＼yyy　：　xxx。exe　

此外，一些IRC病毒在2K／NT／XP下还会将自己注册为服务启动。　
病毒每隔一定时间会自动尝试连接特定的IRC服务器频道，为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令，病毒就会在本地执行不同的操作，并将本地系统的返回信息发回聊天室，从而造成用户信息的泄漏

这种后门控制机制是比较新颖的，即时用户觉察到了损失，想要追查黑客也是非常困难。　
病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量网络带宽资源，容易造成局域网阻塞，国内不少企业用户的业务均因此遭受影响。　

出于保护被IRC病毒控制的计算机的目的，一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己，而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。　

所有的IRC后门病毒都会在注册表HKEY＿LOCAL＿MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run下添加自己的启动项，并且项值只有文件名，不带路径，这给提供了追查的线索。通过下面几步可以安全的清除掉IRC病毒。　

1、打开注册表编辑器，定位到HKEY＿LOCAL＿MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run项，找出可疑文件的项目。　

2、打开任务管理器（按Alt＋Ctrl＋Del或在任务栏单击鼠标右键，选择“任务管理器”），找到并结束与注册表文件项相对应的进程。若进程不能结束，则可以切换到安全模式进行操作。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键（或者在启动计算机时按住Ctrl键不放），在出现的启动选项菜单中，选择“Safe　Mode”或“安全模式”。　

3、接着打开“我的电脑”，在“工具”菜单下选择“文件夹选项”，选择“显示所有文件”，然后点击“确定”。再进入系统文件夹，找出可疑文件并将它转移或删除，到这一步病毒就算清除了。　

4、最后可手工把注册表里病毒的启动项清除，也可使用瑞星注册表修复工具清除。　
如果你发现了瑞星杀毒软件查不到的IRC病毒，也欢迎登陆瑞星新病毒上报网站http：／／up。rising。com。cn）上传样本。　

1。建立良好的安全习惯　

不要轻易打开一些来历不明的邮件及其附件，不要轻易登陆陌生的网站。从网上下载的文件要先查毒再运行。　

2。关闭或删除系统中不需要的服务　

默认情况下，操作系统会安装一些辅助服务，如　FTP　客户端、Telnet　和　Web　服务器。这些服务为攻击者提供了方便，而又对大多数用户没有用。删除它们，可以大大减少被攻击的可能性。　

3。经常升级安全补丁　

据统计，大部分网络病毒都是通过系统及IE安全漏洞进行传播的，如：冲击波、震荡波、SCO炸弹AC／AD等病毒。如果机器存在漏洞则很可能造成病毒反复感染，无法清除干净。因此一定要定期登陆微软升级网站http：／／windowsupdate。microsoft。com）下载安装最新的安全补丁。同时也可以使用瑞星杀毒软件附带的“瑞星漏洞扫描”定期对系统进行检查。　

4。设置复杂的密码　

有许多网络病毒是通过猜测简单密码的方式对系统进行攻击。因此设置复杂的密码（大小写字母、数字、特殊符号混合，8位以上），将会大大提高计算机的安全系数，减少被病毒攻击的概率。　

5。迅速隔离受感染的计算机　

当您的计算机发现病毒或异常情况时应立即切断网络连接，以防止计算机受到更严重的感染或破坏，或者成为传播源感染其它计算机。　

6。经常了解一些反病毒资讯　

经常登陆信息安全厂商的官方主页，了解最新的资讯。这样您就可以及时发现新病毒并在计算机被病毒感染时能够作出及时准确的处理。比如了解一些注册表的知识，就可以定期查看注册表自启动项是否有可疑键值；了解一些程序进程知识，就可以查看内存中是否有可疑程序。　

7。最好是安装专业的防毒软件进行全面监控　

在病毒技术日新月异的今天，使用专业的反病毒软件对计算机进行防护仍是保证信息安全的最佳选择。用户在安装了反病毒软件之后，一定要开启实时监控功能并经常进行升级以防范最新的病毒，这样才能真正保障计算机的安全。

当一个训练有素的程序员设计一个功能较复杂的软件时，都习惯于先将整个软件分割为若干模块，然后再对各模块单独设计、调试，而后门则是一个模块的秘密入口。在程序开发期间，后门的存在是为了便于测试、更改和增强模块的功能。当然，程序员一般不会把后门记入软件的说明文档，因此用户通常无法了解后门的存在。　

按照正常操作程序，在软件交付用户之前，程序员应该去掉软件模块中的后门，但是，由于程序员的疏忽，或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问，方便测试或维护已完成的程序等种种原因，实际上并未去掉。　

这样，后门就可能被程序的作者所秘密使用，也可能被少数别有用心的人用穷举搜索法发现利用。　
从早期的计算机入侵者开始，他们就努力发展能使自己重返被入侵系统的技术或后门。本文将讨论许多常见的后门及其检测方法。更多的焦点放在Unix系统的后门，同时讨论一些未来将会出现的Windows　NT的后门。本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识。当管理员懂的一旦入侵者入侵后要制止他们是何等之难以后，将更主动于预防第一次入侵。

大多数入侵者的后门实现以下二到三个目的：　
即使管理员通过改变所有密码类似的方法来提高安全性，仍然能再次侵入。使再次侵入被发现的可能性减至最低。大多数后门设法躲过日志，大多数情况下即使入侵者正在使用系统也无法显示他已在线。一些情况下，如果入侵者认为管理员可能会检测到已经安装的后门，他们以系统的脆弱性作为唯一的后门，重而反复攻破机器。这也不会引起管理员的注意。所以在这样的情况下，一台机器的脆弱性是它唯一未被注意的后门。　

　   
这是入侵者使用的最早也是最老的方法，它不仅可以获得对Unix机器的访问，而且可以通过破解密码制造后门。　这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号，这些新的帐号仍然可能是重新侵入的后门。多数情况下，入侵者寻找口令薄弱的未使用帐号，然后将口令改的难些。当管理员寻找口令薄弱的帐号是，也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。　

Rhosts　＋　＋　后门　
在连网的Unix机器中，象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入＂＋　＋＂，就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时，入侵者更热中于此。这些帐号也成了入侵者再次侵入的后门。许多人更喜欢使用Rsh，因为它通常缺少日志能力。　许多管　理员经常检查　＂＋　＋＂，所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名，从而不易被发现。　

校验和及时间戳后门　

早期，许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依＊时间戳和系统校验和的程序辨别一个二进制文件是否已被改变，如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的：先将系统时钟拨回到原文件时间，然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与原来的精确同步，就可以把系统时间设回当前时间。sum程序是基于CRC校验，很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被大多数人推荐的，MD5使用的算法目前还没人能骗过。　

Login后门　

在Unix里，login程序通常用来对telnet来的用户进行口令验证。入侵者获取login。c的原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入。　这将允许入侵者进入任何帐号，甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的，所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后，便用＂strings＂命令搜索login程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令，使strings命令失效。所以更多的管理员是用MD5校验和检测这种后门的。　

Telnetd后门　

当用户telnet到系统，监听端口的inetd服务接受连接随后递给in。telnetd，由它运行login。一些入侵者知道管理员会检查login是否被修改，就着手修改in。telnetd。在in。telnetd内部有一些对用户信息的检验，比如用户使用了何种终端。典型的终端设置是Xterm或者VT100。入侵者可以做这样的后门，当终端设置为＂letmein＂时产生一个不要任何验证的shell。入侵者已对某些服务作了后门，对来自特定源端口的连接产生一个shell。　

服务后门　

几乎所有网络服务曾被入侵者作过后门。finger，rsh，rexec，rlogin，ftp，甚至inetd等等的作了的版本随处是。有的只是连接到某个TCP端口的shell，通过后门口令就能获取访问。这些程序有时用刺娲□？ucp这样不用的服务，或者被加入inetd。conf作为一个新的服务。管理员应该非常注意那些服务正在运行，并用MD5对原服务程序做校验。　

Cronjob后门　

Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中经常运行的合法程序，同时置入后门。　

库后门　

几乎所有的UNIX系统使用共享库。共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt。c和＿crypt。c这些函数里作了后门。象login。c这样的程序调用了crypt（），当使用后门口令时产生一个shell。因此，即使管理员用MD5检查login程序，仍然能产生一个后门函数。而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题：一些管理员对所有东西多作了MD5校验。有一种办法是入侵者对open（）和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以当MD5读这些文件时，校验和一切正常。但当系统运行时将执行trojan版本的。即使trojan库本身也可躲过MD5校验。对于管理员来说有一种方法可以找到后门，就是静态编连MD5校验程序然后运行。静态连接程序不会使用trojan共享库。

内核后门　

内核是Unix工作的核心。用于库躲过MD5校验的方法同样适用于内核级别，甚至连静态连接多不能识别。一个后门作的很好的内核是最难被管理员查找的，所幸的是内核的后门程序还不是随手可得，每人知道它事实上传播有多广。　

文件系统后门　

入侵者需要在服务器上存储他们的掠夺品或数据，并不能被管理员发现。入侵者的文章常是包括exploit脚本工具，后门集，sniffer日志，email的备分，原代码，等等。有时为了防止管理员发现这么大的文件，入侵者需要修补＂ls＂，＂du＂，＂fsck＂以隐匿特定的目录和文件。在很低的级别，入侵者做这样的漏洞：以专有的格式在硬盘上割出一部分，且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件。对于普通的管理员来说，很难发现这些＂坏扇区＂里的文件系统，而它又确实存在。　

Boot块后门　

在PC世界里，许多病毒藏匿与根区，而杀病毒软件就是检查根区是否被改变。Unix下，多数管理员没有检查根区的软件，所以一些入侵者将一些后门留在根区。　

隐匿进程后门　

入侵者通常想隐匿他们运行的程序。这样的程序一般是口令破解程序和监听程序（sniffer）。有许多办法可以实现，这里是较通用的：编写程序时修改自己的argv［］使它看起来象其他进程名。可以将sniffer程序改名类似in。syslog再执行。因此当管理员用＂ps＂检查运行进程时，出现的是标准服务名。可以修改库函数致使＂ps＂不能显示所有进程。可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是amod。tar。gz　：http：／／star。niimm。spb。su／～maillist／bugtraq。1／0777。html　也可以修改内核隐匿进程。　

Rootkit　

最流行的后门安装包之一是rootkit。它很容易用web搜索器找到。从Rootkit的README里，可以找到一些典型的文件：　
z2　－　removes　entries　from　utmp，　wtmp，　and　lastlog。　
Es　－　rokstar＇s　ethernet　sniffer　for　sun4　based　kernels。　
Fix　－　try　to　fake　checksums，　install　with　same　dates／perms／u／g。　
Sl　－　become　root　via　a　magic　password　sent　to　login。　
Ic　－　modified　ifconfig　to　remove　PROMISC　flag　from　output。　
ps：　－　hides　the　processes。　
Ns　－　modified　netstat　to　hide　connections　to　certain　machines。　
Ls　－　hides　certain　directories　and　files　from　being　listed。　
du5　－　hides　how　much　space　is　being　used　on　your　hard　drive。　
ls5　－　hides　certain　files　and　directories　from　being　listed。　

网络通行后门　

入侵者不仅想隐匿在系统里的痕迹，而且也要隐匿他们的网络通行。这些网络通行后门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问。因为这是通过非标准网络端口的通行，管理员可能忽视入侵者的足迹。这种后门通常使用TCP，UDP和ICMP，但也可能是其他类型报文。　

TCP　Shell　后门　

入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP　Shell后门。许多情况下，他们用口令进行保护以免管理员连接上后立即看到是shell访问。管理员可以用netstat命令查看当前的连接状态，那些端口在侦听，目前连接的来龙去脉。通常这些后门可以让入侵者躲过TCP　Wrapper技术。这些后门可以放在SMTP端口，许多防火墙允许e－mail通行的。　

UDP　Shell　后门　

管理员经常注意TCP连接并观察其怪异情况，而UDP　Shell后门没有这样的连接，所以netstat不能显示入侵者的访问痕迹。许多防火墙设置成允许类似DNS的UDP报文的通行。通常入侵者将UDP　Shell放置在这个端口，允许穿越防火墙。　

ICMP　Shell　后门　

Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器。入侵者可以放数据入Ping的ICMP包，在ping的机器间形成一个shell通道。管理员也许会注意到Ping包暴风，但除了他查看包内数据，否者入侵者不会暴露。　

加密连接　

管理员可能建立一个sniffer试图某个访问的数据，但当入侵者给网络通行后门加密后，就不可能被判定两台机器间的传输内容了。　

Windows　NT　

由于Windows　NT不能轻易的允许多个用户象Unix下访问一台机器，对入侵者来说就很难闯入Windows　NT，安装后门，并从那里发起攻击。因此你将更频繁地看到广泛的来自Unix的网络攻击。当Windows　NT提高多用户技术后，　入侵者将更频繁地利用　WindowsNT。如果这一天真的到来，许多Unix的后门技术将移植到Windows　NT上，　管理员可以等候入侵者的到来。Windows　NT已经有了telnet守护程序。通过网络通行后门，入侵者发现在Windows　NT安装它们是可行的。

解决　

当后门技术越先进，管理员越难于判断入侵者是否侵入后者他们是否被成功封杀。　

评估　

首先要做的是积极准确的估计你的网络的脆弱性，从而判定漏洞的存在且修复之。许多商业工具用来帮助扫描和查核网络及系统的漏洞。如果仅仅安装提供商的安全补丁的话，许多公司将大大提高安全性。　

MD5基准线　

一个系统（安全）扫描的一个重要因素是MD5校验和基准线。MD5基准线是在黑客入侵前由干净系统建立。　一旦黑客入侵并建立了后门再建立基准线，那么后门也被合并进去了。一些公司被入侵且系统被安置后门长达几个月。所有的系统备份多包含了后门。当公司发现有黑客并求助备份祛除后门时，一切努力是徒劳的，因为他们恢复系统的同时也恢复了后门。应该在入侵发生前作好基准线的建立。　

入侵检测　

随着各种组织的上网和允许对自己某些机器的连接，入侵检测正变的越来越重要。以前多数入侵检测技术是基于日志型的。最新的入侵检测系统技术（IDS）是基于实时侦听和网络通行安全分析的。最新的IDS技术可以浏览DNS的UDP报文，并判断是否符合DNS协议请求。如果数据不符合协议，就发出警告信号并抓取数据进行进一步分析。同样的原则可以运用到ICMP包，检查数据是否符合协议要求，或者是否装载加密shell会话。　

从CD－ROM启动　

一些管理员考虑从CD－ROM启动从而消除了入侵者在CD－ROM上做后门的可能性。这种方法的问题是实现的费用和时间够企业面临的。　

警告　

由于安全领域变化之快，每天有新的漏洞被公布，而入侵者正不断设计新的攻击和安置后门技术，安枕无忧的安全技术是没有的。请记住没有简单的防御，只有不懈的努力！