“IRC Trojan”这个词最早是由CERT组织在1994年提出的。随后，IRC Trojan的数量不断增加、特性不断丰富，其产生的破坏力也不容小觑了。近一两年中出现的僵尸网络（BotNet）事件多与此有关，攻击者常常通过IRC来控制上万台受感染的主机来发动DDoS攻击，这类事件造成的危害也是非常巨大的。本文试图对IRC Trojan进行分析和探讨，希望能有助于提高大家对于IRC Trojan的安全意识和防范能力。  
 
　　IRC Trojan是什么

　　如果从1994年CERT发现的Trojan Horse算起，IRC Trojan已经有11年的历史了。最初的IRC Trojan最主要一个特征就是它会在被感染机器与IRC服务器之间开放一个隐匿的连接，通过这个隐匿连接攻击者可以发送控制命令到受感染的机器，从而遥控受感染的机器执行各种命令。具有这一特征的程序都可以称为IRC Trojan。

　　从这一特征来看，IRC Trojan应该被看作是一个重要的安全风险，因为通过IRC往往可以使一个人方便地同时控制成千上万的机器，最近两年控制几万甚至上百万的机器进行DDoS攻击的事件频频出现，其中散播IRC Trojan就是其中一种常见的控制方法之一。

　　随着技术在不断的更新，许多IRC Trojan借鉴了病毒、蠕虫等的部分技术。IRC Trojan有时候像一个毒，它可以被常见的杀毒软件所发现和清除。实际上，从技术发展趋势来看，Trojan Horse有与蠕虫、木马等相互融合的趋势，即Trojan Horse也开始具备蠕虫的传播复制、病毒的隐藏变体等特征，蠕虫也会包含IRC Trojan以增强其传播和破坏能力。比如：Win32.Mytob.B蠕虫病毒就同时具有IRC Trojan功能，利用IRC Trojan来达到允许未经授权的用户进入并远程控制被感染的机器的目的。

　　传播途径

　　不良攻击者散布IRC Trojan的方法与散布病毒、蠕虫等的方法类似，常见的散布手段包括以下几种：

　　挂站传播：不良攻击者在攻陷网站后，会将IRC Trojan隐藏在含有恶意代码的网页中，当用户访问相关网页时，就会运行恶意代码，从而植入IRC Trojan。

　　邮件传播：不良攻击者也会通过群发邮件的方法，将IRC Trojan隐藏于邮件或附件中，诱使用户打开运行它们，从而植入IRC Trojan。

　　入侵种植：不良攻击者攻陷了主机之后，也可能植入IRC Trojan做后门，以便日后使用。

　　通过IRC：RC-Worm.Mooze. enc、IRC-Worm.Mooze等就是通过修改MIRC的脚本来传播自己的。

　　通过文件共享：它尝试利用管理员弱口令连接网络共享，如果成功，它将自身复制到共享目录中，并运行。所以，在企业局域网中如果你的电脑还没有给管理员设置口令(密码为空)，很容易受到病毒的攻击和感染。

　　蠕虫传播：将IRC Trojan与蠕虫相结合，利用蠕虫的强大传播能力进行传播。

　　软件下载：IRC Trojan会将自己伪装成一些极具诱惑力的软件来诱使你去下载运行，比如：屏幕保护程序、MP3歌曲、图片等，很多用户很可能会下载这些文件去运行，从而感染IRC Trojan。

感染目标及危害

　　IRC Trojan针对的目标是普通的家庭用户以及企业中的普通用户，这些用户通常缺乏足够的安全意识以及安全保护措施，比较容易植入IRC Trojan。此外，随着宽带用户的增长，大量电脑长期连接在互联网上，这些对于黑客来说是非常宝贵的资料，所以黑客会想尽方法来感染更多的机器。当然有些管理不慎的服务器也难以幸免。

　　IRC Trojan能通过IRC通讯来传递控制信息、操纵受感染机器执行各种命令的。传播者可能通过IRC Trojan来从事以下活动：

　　◆ 利用受感染机器组成僵尸网络，对目标系统进行各种分布拒绝服务攻击(通过ping，syn，udp等产生拒绝服务攻击)；

　　◆ 利用隐藏的IRC通讯从受感染机器盗取各种文件、数据，系统信息；

　　◆ 利用隐藏的IRC通讯来收集受感染机器及网络的流量数据等；

　　◆ 利用隐藏的IRC通讯来删除、篡改受感染机器上的文件，甚至破坏操作系统；

　　◆ 利用隐藏的IRC通讯来删修改受感染机器上的系统配置，比如开放共享、新建账号等；

　　◆ 利用隐藏的IRC通讯在受感染机器上执行各种命令，比如：终止杀毒软件进程、安装其它程序等。

　　IRC Trojan示例

　　◆ trojan/crypt.e：利用kazaa共享及mirc传播的后门程序。可连接指定IRC服务器，加入指定IRC通道，侦听黑客指令。该后门运行后，自我复制到系统目录及Windows启动目录下，并修改注册表，以实现病毒程序的开机自启。在kazaa上创建共享目录，并利用某些常用软件的名称将自己复制到kazaa共享目录下，以欺骗他人下载。在系统目录下生成键击日志文件，并将盗取的操作系统信息及IP地址、用户名等信息发送到IRC服务器。另外，该程序可终止某些防火墙及杀毒软件的进程并，可对指定目标执行DOS攻击。

　　◆ backdoor/tometa.a:是用C++编写用upx压缩的后门程序，通过IRC和群发邮件进行传播，并可将用户计算机变为黑客代理服务器。该后门运行后，修改注册表，实现开机自启。连接特定IRC服务器，并加入一个IRC频道，侦听黑客指令，接收自我卸载、关闭特定链接、访问黑客指定站点等黑客指令。将后门程序作为附件，群发带毒邮件。

　　◆ Trojan.Glitch:又名IRC克隆人，它是用VB语言编写的，拥有许多变种。它的工作流程大致是：首先生成名为stde9.exe的安装包，当这个包运行时，会自动把文件安放到system目录下，并修改注册表的run项，进行自启动。同时，启动mirc程序并将窗口设成隐藏。然后攻击者可以利用mIRC的功能发送控制指令来进行攻击和破坏。

　　◆ trojan/psw.pswsniffer.b:“密码针”是一个可利用微软dcomrpc（MS03-026）等漏洞进行传播的木马。该木马可连接IRC通道，远程控制用户计算机。“密码针”在用户计算机内搜索注册表，若发现用户计算机内装有虚拟机，则不会在此计算机内运行。该木马运行后，自我复制到系统目录下修改注册表，使“密码针”在安全模式下也能启动；开启tcp6556端口，侦听黑客指令，可盗取系统信息；利用记录键击或从缓冲区盗取用户密码信息；终止黑客指定进程；连接黑客指定站点，下载并安装指定程序。

　　从前面几个IRC Trojan示例来看，尽管它们的传播方式各异，有的是利用微软的系统漏洞（psw. pswsniffer.b），有的是利用文件共享，但它们都会与IRC服务器建立一个隐藏的通道，借助这个通道来实现对被感染机器的控制。

[1] [2] 下一页