IRC BOT原来是利用IRC下发C&C命令——在xx云环境遇到了,恶意软件开的是6666端口

Backdoor/IRC.RpcBot

本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
Backdoor/IRC.RpcBot是一些批处理文件脚本文件和执行文件的集合,也是一种黑客工具,这些文件的名称是可以变化的。
 
中文名
Backdoor/IRC.RpcBot
类    别
病毒
威胁级别
一星
类    型
木马

基本信息

Backdoor/IRC.RpcBot
病毒长度:变长
病毒类型:木马
危害等级:*
影响平台:Win9X/2000/XP/NT/Me
Backdoor/IRC.RpcBot通过 DCOM RPC 漏洞传播自身,木马作者可以完全控计算机。

行为分析

1.创建文件夹C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS,并在其下复制为Bot.rar。
2.将WinOLE.exe(mIRC客户端程序补丁)作为一项服务运行,并通过注册表HKEY_LOCAL_MACHIN\Software\Classes挂钩于IRC扩展名的文件,达到一开始运行聊天工具便调用WinOLE.exe文件的目的。
3.运行下列文件:
Dhcpp.exe --- TFTP服务
Nctl.exe --- FTP服务
Eeents.exe --- IRC代理服务
4.修改注册表:
/设注册表:HKEY_LOCAL_MACHINE\SOFTWARE\TFTPD32
下的键值为:
"BaseDirectory"="C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS"
"TftpPort"="00000045"
"Hide"="00000001"
"WinSize"="00000000"
"Negociate"="00000000"
"DirText"="00000000"
"ShowProgressBar"="00000000"
"Timeout"="00000003"
"MaxRetransmit"="00000006"
"SecurityLevel"="00000000"
"UnixStrings"="00000000"
"LocalIP"=""
"Beep"="00000000"
"VirtualRoot"="00000000"
"Services"="00000003"
"TftpLogFile"=""
"SaveSyslogFile"=""
/设注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
下的键值为:"DisableWebDAV"="00000001"
/设注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
下的键值为:
"EnableDCOM"="N"
"EnableRemoteConnect"="N"
4.连接特定的IRC服务器并加入一个频道,在此监听木马作者发出的指令。利用DCOM RPC漏洞,通过连接随机产生的IP地址找到目标计算机进行监听其TCP 端口135,一旦成功它便开始向目标计算机传输数据,并创建文件夹C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS ,然后在此目录下利用TFTP引入木马组件bot.rar,unrar.bat和unrar.exe,并运行木马自身。
posted @ 2018-07-17 17:07  bonelee  阅读(978)  评论(0编辑  收藏  举报