IRC Trojan是什么
如果从1994年CERT发现的Trojan Horse算起,IRC Trojan已经有11年的历史了。最初的IRC Trojan最主要一个特征就是它会在被感染机器与IRC服务器之间开放一个隐匿的连接,通过这个隐匿连接攻击者可以发送控制命令到受感染的机器,从而遥控受感染的机器执行各种命令。具有这一特征的程序都可以称为IRC Trojan。
从这一特征来看,IRC Trojan应该被看作是一个重要的安全风险,因为通过IRC往往可以使一个人方便地同时控制成千上万的机器,最近两年控制几万甚至上百万的机器进行DDoS攻击的事件频频出现,其中散播IRC Trojan就是其中一种常见的控制方法之一。
随着技术在不断的更新,许多IRC Trojan借鉴了病毒、蠕虫等的部分技术。IRC Trojan有时候像一个病毒,它可以被常见的杀毒软件所发现和清除。实际上,从技术发展趋势来看,Trojan Horse有与蠕虫、木马等相互融合的趋势,即Trojan Horse也开始具备蠕虫的传播复制、病毒的隐藏变体等特征,蠕虫也会包含IRC Trojan以增强其传播和破坏能力。比如:Win32.Mytob.B蠕虫病毒就同时具有IRC Trojan功能,利用IRC Trojan来达到允许未经授权的用户进入并远程控制被感染的机器的目的。
传播途径
不良攻击者散布IRC Trojan的方法与散布病毒、蠕虫等的方法类似,常见的散布手段包括以下几种:
挂站传播:不良攻击者在攻陷网站后,会将IRC Trojan隐藏在含有恶意代码的网页中,当用户访问相关网页时,就会运行恶意代码,从而植入IRC Trojan。
邮件传播:不良攻击者也会通过群发邮件的方法,将IRC Trojan隐藏于邮件或附件中,诱使用户打开运行它们,从而植入IRC Trojan。
入侵种植:不良攻击者攻陷了主机之后,也可能植入IRC Trojan做后门,以便日后使用。
通过IRC:RC-Worm.Mooze. enc、IRC-Worm.Mooze等就是通过修改MIRC的脚本来传播自己的。
通过文件共享:它尝试利用管理员弱口令连接网络共享,如果成功,它将自身复制到共享目录中,并运行。所以,在企业局域网中如果你的电脑还没有给管理员设置口令(密码为空),很容易受到病毒的攻击和感染。
蠕虫传播:将IRC Trojan与蠕虫相结合,利用蠕虫的强大传播能力进行传播。
软件下载:IRC Trojan会将自己伪装成一些极具诱惑力的软件来诱使你去下载运行,比如:屏幕保护程序、MP3歌曲、图片等,很多用户很可能会下载这些文件去运行,从而感染IRC Trojan。
