zoukankan      html  css  js  c++  java
  • IRC BOT原来是利用IRC下发C&C命令——在xx云环境遇到了,恶意软件开的是6666端口

    Backdoor/IRC.RpcBot

    本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
    Backdoor/IRC.RpcBot是一些批处理文件脚本文件和执行文件的集合,也是一种黑客工具,这些文件的名称是可以变化的。
     
    中文名
    Backdoor/IRC.RpcBot
    类    别
    病毒
    威胁级别
    一星
    类    型
    木马

    基本信息

    Backdoor/IRC.RpcBot
    病毒长度:变长
    病毒类型:木马
    危害等级:*
    影响平台:Win9X/2000/XP/NT/Me
    Backdoor/IRC.RpcBot通过 DCOM RPC 漏洞传播自身,木马作者可以完全控计算机。

    行为分析

    1.创建文件夹C:RECYCLERS-1-5-21-57989841-1715567821-725345543-1004LOGS,并在其下复制为Bot.rar。
    2.将WinOLE.exe(mIRC客户端程序补丁)作为一项服务运行,并通过注册表HKEY_LOCAL_MACHINSoftwareClasses挂钩于IRC扩展名的文件,达到一开始运行聊天工具便调用WinOLE.exe文件的目的。
    3.运行下列文件:
    Dhcpp.exe --- TFTP服务
    Nctl.exe --- FTP服务
    Eeents.exe --- IRC代理服务
    4.修改注册表:
    /设注册表:HKEY_LOCAL_MACHINESOFTWARETFTPD32
    下的键值为:
    "BaseDirectory"="C:RECYCLERS-1-5-21-57989841-1715567821-725345543-1004LOGS"
    "TftpPort"="00000045"
    "Hide"="00000001"
    "WinSize"="00000000"
    "Negociate"="00000000"
    "DirText"="00000000"
    "ShowProgressBar"="00000000"
    "Timeout"="00000003"
    "MaxRetransmit"="00000006"
    "SecurityLevel"="00000000"
    "UnixStrings"="00000000"
    "LocalIP"=""
    "Beep"="00000000"
    "VirtualRoot"="00000000"
    "Services"="00000003"
    "TftpLogFile"=""
    "SaveSyslogFile"=""
    /设注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParameters
    下的键值为:"DisableWebDAV"="00000001"
    /设注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle
    下的键值为:
    "EnableDCOM"="N"
    "EnableRemoteConnect"="N"
    4.连接特定的IRC服务器并加入一个频道,在此监听木马作者发出的指令。利用DCOM RPC漏洞,通过连接随机产生的IP地址找到目标计算机进行监听其TCP 端口135,一旦成功它便开始向目标计算机传输数据,并创建文件夹C:RECYCLERS-1-5-21-57989841-1715567821-725345543-1004LOGS ,然后在此目录下利用TFTP引入木马组件bot.rar,unrar.bat和unrar.exe,并运行木马自身。
  • 相关阅读:
    干点小事的常用的着的语句
    hadoop测试环境主配置简例
    开源集
    Linux系统重装与还原
    POJ1679 The Unique MST 【次小生成树】
    No value for key [org.hibernate.impl.SessionFactoryImpl 异常解决
    Java程序猿学习C++之数组和动态数组
    LightOj 1123-Trail Maintenance(最小生成树:神级删边)
    分布式协议之两阶段提交协议(2PC)和改进三阶段提交协议(3PC)
    HDU 4847 陕西邀请赛A(水)
  • 原文地址:https://www.cnblogs.com/bonelee/p/9324368.html
Copyright © 2011-2022 走看看