Backdoor/IRC.RpcBot

本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
Backdoor/IRC.RpcBot是一些批处理文件脚本文件和执行文件的集合,也是一种黑客工具,这些文件的名称是可以变化的。
 
中文名
Backdoor/IRC.RpcBot
类    别
病毒
威胁级别
一星
类    型
木马

基本信息

Backdoor/IRC.RpcBot
病毒长度:变长
病毒类型:木马
危害等级:*
影响平台:Win9X/2000/XP/NT/Me
Backdoor/IRC.RpcBot通过 DCOM RPC 漏洞传播自身,木马作者可以完全控计算机。

行为分析

1.创建文件夹C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS,并在其下复制为Bot.rar。
2.将WinOLE.exe(mIRC客户端程序补丁)作为一项服务运行,并通过注册表HKEY_LOCAL_MACHIN\Software\Classes挂钩于IRC扩展名的文件,达到一开始运行聊天工具便调用WinOLE.exe文件的目的。
3.运行下列文件:
Dhcpp.exe --- TFTP服务
Nctl.exe --- FTP服务
Eeents.exe --- IRC代理服务
4.修改注册表:
/设注册表:HKEY_LOCAL_MACHINE\SOFTWARE\TFTPD32
下的键值为:
"BaseDirectory"="C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS"
"TftpPort"="00000045"
"Hide"="00000001"
"WinSize"="00000000"
"Negociate"="00000000"
"DirText"="00000000"
"ShowProgressBar"="00000000"
"Timeout"="00000003"
"MaxRetransmit"="00000006"
"SecurityLevel"="00000000"
"UnixStrings"="00000000"
"LocalIP"=""
"Beep"="00000000"
"VirtualRoot"="00000000"
"Services"="00000003"
"TftpLogFile"=""
"SaveSyslogFile"=""
/设注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
下的键值为:"DisableWebDAV"="00000001"
/设注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
下的键值为:
"EnableDCOM"="N"
"EnableRemoteConnect"="N"
4.连接特定的IRC服务器并加入一个频道,在此监听木马作者发出的指令。利用DCOM RPC漏洞,通过连接随机产生的IP地址找到目标计算机进行监听其TCP 端口135,一旦成功它便开始向目标计算机传输数据,并创建文件夹C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS ,然后在此目录下利用TFTP引入木马组件bot.rar,unrar.bat和unrar.exe,并运行木马自身。

IRC BOT原来是利用IRC下发C&C命令——在xx云环境遇到了,恶意软件开的是6666端口的更多相关文章

  1. IRC(Internet Relay Chat Protocol) Protocal Learning && IRC Bot

    catalogue . Abstract . INTRODUCTION . 通信协议Connection Registration Action . 通信协议Channel operations Ac ...

  2. 利用irc服务器做物联网数据转发 c# winform程序

    利用irc协议的优点: 免费,不用购买服务器就可以实现稳定公网转发数据 开源,irc的客户端和开源库众多,省去了自己造轮子的时间 历史悠久,互联网诞生伊始就有irc 缺点:安全性比较差 简单协议接收可 ...

  3. 利用freopen()函数和fc命令简化程序调试

    大家在参加ACM比赛或者参加c/c++实验技能竞赛的时候,如果遇到大量的输入和大量的输出时,调试起来很不方便.一来如果结果不正确的话,需要重复输入大量数据:二来如果大量输出的话,得仔细检查输出结果与正 ...

  4. 利用phar实行php反序列化命令执行漏洞复现

    利用phar实行php反序列化命令执行(测试环境复现) 前言 一般说到反序列化漏洞,第一反应都是unserialize()函数.然而安全研究员Sam Thomas分享了议题”It’s a PHP un ...

  5. 利用commands模块执行shell命令

    利用commands模块执行shell命令 用Python写运维脚本时,经常需要执行linux shell的命令,Python中的commands模块专门用于调用Linux shell命令,并返回状态 ...

  6. SDNLAB技术分享(四):利用ODL下发流表创建VxLAN网络

    邓晓涛,当前就职于江苏省未来网络创新研究院,是CDN团队的一名研发人员,主要从事SDN相关的研发相关工作.曾就职于三星电子于先行解决方案研发组任高级工程师.思科系统于云协作应用技术部(CCATG)任工 ...

  7. 如何利用服务器下发的Cookie实现基于此Cookie的会话保持

    Cookie是一种在客户端保持HTTP状态信息的常用技术,基于Cookie的会话保持常常出现在很多AX的部署案例中,尤其是涉及电子交易的系统部署中.此类系统往往要求负载均衡设备按照服务器下发的Cook ...

  8. 利用phar实行php反序列化命令执行(测试环境复现)

    测试环境的过程大概是:构成出来的phar文件,并修改为任意后缀上传至服务器.通过index.php中存在的文件操作函数参数可控,把参数设置为 phar://上传文件名 即可导致命令执行. index. ...

  9. meterpreter会话渗透利用常用的32个命令归纳小结

    仅作渗透测试技术实验之用,请勿针对任何未授权网络和设备. 1.background命令 返回,把meterpreter后台挂起 2.session命令 session 命令可以查看已经成功获取的会话 ...

随机推荐

  1. zen-cart 一页支付实现方法

    1.下载插件CSS JS Loader 和 Fast and Easy Checkout for Zen Cart,插件请下载附件 2.先把CSS JS Loader覆盖,后台选项点击,点击后,程序会 ...

  2. Jmeter数据库mysql测试说明

    主要分3个步骤,详细操作步骤如下: 一.环境准备 1.下载mysql驱动,下载地址:https://dev.mysql.com/downloads/connector/j/,Select Operat ...

  3. Java线程常用方法汇总

    1.sleep() 使当前线程(即调用该方法的线程)暂停执行一段时间,让其他线程有机会继续执行,但它并不释放对象锁.也就是说如果有synchronized同步快,其他线程仍然不能访问共享数据.注意该方 ...

  4. linux上使用wget下载文件

    首次安装的centos操作系统是没有安装wget的,所以首先需要先安装wget,然后才能使用wget下载文件. 1.第一步,保证centos能正常连网.使用命令  :yum -y install wg ...

  5. springCloud3---ribbon

    同一份代码,改变端口,就可以启动多个同名但是端口不一样的微服务. 客户端通过nginx来调用后面的多个用户微服务来实现负载均衡,这是服务端负载均衡. 客户端有一个组件,可以知道当前有几个用户微服务的i ...

  6. svn不提交.net项目中的bin

    1 选中 bin->右击->tortoiseSVN->add to ignore list->选择第二个 2 提交 , 服务器上就没有bin目录了.

  7. c++ 跳转语句块

    p170~p172:跳转语句:1.break:对while for switcho有效!2.continue:中断当前迭代,但是循环还要继续.因此对while for有效,对switch无效!3.go ...

  8. centos7安装kvm环境采用网桥模式并创建虚拟机制作openstack需要的镜像

    初始环境的安装:centos7 mini iso镜像进行安装的系统 采用的环境是vm该软件,联网方式NAT模式下配置的静态ip(如何在NAT模式下配置静态ip参考之前的文章) 1.由于要安装kvm环境 ...

  9. iOS开发进阶 - 自定义UICollectionViewLayout实现瀑布流布局

    移动端访问不佳,请访问我的个人博客 最近项目中需要用到瀑布流的效果,但是用UICollectionViewFlowLayout又达不到效果,自己动手写了一个瀑布流的layout,下面是我的心路路程 先 ...

  10. webform CustomValidator

    https://docs.microsoft.com/en-us/dotnet/api/system.web.ui.webcontrols.customvalidator?view=netframew ...