Backdoor/IRC.RpcBot

本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
Backdoor/IRC.RpcBot是一些批处理文件、脚本文件和执行文件的集合,也是一种黑客工具,这些文件的名称是可以变化的。
中文名
Backdoor/IRC.RpcBot
类    别
病毒
威胁级别
一星
类    型
木马

目录

  1. 1 基本信息
  2. 2 行为分析

基本信息

Backdoor/IRC.RpcBot
病毒长度:变长
病毒类型:木马
危害等级:*
影响平台:Win9X/2000/XP/NT/Me
Backdoor/IRC.RpcBot通过 DCOM RPC 漏洞传播自身,木马作者可以完全控计算机。

行为分析

1.创建文件夹C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS,并在其下复制为Bot.rar。
2.将WinOLE.exe(mIRC客户端程序补丁)作为一项服务运行,并通过注册表HKEY_LOCAL_MACHIN\Software\Classes挂钩于IRC扩展名的文件,达到一开始运行聊天工具便调用WinOLE.exe文件的目的。
3.运行下列文件:
Dhcpp.exe --- TFTP服务
Nctl.exe --- FTP服务
Eeents.exe --- IRC代理服务
4.修改注册表:
/设注册表:HKEY_LOCAL_MACHINE\SOFTWARE\TFTPD32
下的键值为:
"BaseDirectory"="C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS"
"TftpPort"="00000045"
"Hide"="00000001"
"WinSize"="00000000"
"Negociate"="00000000"
"DirText"="00000000"
"ShowProgressBar"="00000000"
"Timeout"="00000003"
"MaxRetransmit"="00000006"
"SecurityLevel"="00000000"
"UnixStrings"="00000000"
"LocalIP"=""
"Beep"="00000000"
"VirtualRoot"="00000000"
"Services"="00000003"
"TftpLogFile"=""
"SaveSyslogFile"=""
/设注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
下的键值为:"DisableWebDAV"="00000001"
/设注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
下的键值为:
"EnableDCOM"="N"
"EnableRemoteConnect"="N"
4.连接特定的IRC服务器并加入一个频道,在此监听木马作者发出的指令。利用DCOM RPC漏洞,通过连接随机产生的IP地址找到目标计算机进行监听其TCP 端口135,一旦成功它便开始向目标计算机传输数据,并创建文件夹C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS ,然后在此目录下利用TFTP引入木马组件bot.rar,unrar.bat和unrar.exe,并运行木马自身。

转载于:https://www.cnblogs.com/bonelee/p/9324368.html

IRC BOT原来是利用IRC下发CC命令——在xx云环境遇到了,恶意软件开的是6666端口...相关推荐

  1. 6-25漏洞利用-irc后门利用

    irc介绍 IRC是Internet Relay Chat 的英文缩写,中文一般称为互联网中继聊天.它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议.经过十年的发展,目前 ...

  2. 利用Smart3D(CC)进行物体建模

    利用Smart3D(CC)进行物体建模 效果图 数据准备 拍摄要求 软件操作 新建工程 导入照片 Ctrl+A全选将照片一起导入 建立模块 一路Next到底 打开ContextCapture Engi ...

  3. linux下cc命令,Linux cc 命令 command not found cc 命令详解 cc 命令未找到 cc 命令安装 - CommandNotFound ⚡️ 坑否...

    显示行号 | 选择喜欢的代码风格 默认 GitHub Dune LakeSide Plateau Vibrant Blue Eighties Tranquil cc 命令运行系统的 C 编译器.这是 ...

  4. WPS漏洞利用工具Bully常见命令集合

    WPS漏洞利用工具Bully常见命令集合 Bully是一款利用路由的WPS漏洞来破解WiFi密码工具.相比Reaver工具,Bully提升了资源使用效率,并提供了更丰富的设置选项.

  5. cmd运行python服务器,python如何利用paramiko执行服务器命令

    话不多说直接上代码 封装连接 @staticmethod def connect(ip, server_user, server_port, server_path): ""&qu ...

  6. linux利用patch和diff命令制作文件补丁

    linux利用patch和diff命令制作文件补丁 因为在 u-boot 移植过程中,有几处通用文件要修改,如果每次都要手动修改就太麻烦了.制作补丁可以解决这个问题. 学习资料的收集比较简单,方法一类 ...

  7. 利用常见的网络命令获取网络信息

    利用常见的网络命令获取网络信息 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 利用常见的网络命令获取网络信息 前言 一.利用ipconfig命令获取本地网络信息 二.实训 ...

  8. Tera term串口下发AT命令测试

    软件准备:teraterm-4.77.exe 编辑软件TTL:setup_ttleditor_1_5_1.exe 下载链接: https://pan.baidu.com/s/1i5CbIbb 密码: ...

  9. 金融信息安全实训——利用常见的网络命令获取网络信息

    实训2 金融信息安全实训--利用常见的网络命令获取网络信息 实训目的 掌握常见网络命令使用方法. 学习使用网络命令嗅探网络信息. 学习使用网络命令判断和处理网络问题. 实训准备及注意事项 1.装有Wi ...

最新文章

  1. usb调试模式已打开,adb devices显示List of devices attached 解决办法!纽维K333一键ROOT,获取ROOT权限!...
  2. 二阶齐次线性微分方程的通解可以表示成两个线性无关解的线性组合
  3. Android系统匿名共享内存Ashmem(Anonymous Shared Memory)简要介绍和学习计划
  4. python如何定义一个空变量_如何在python中定义自由变量? - python
  5. mysql 优化方法有哪些?
  6. Linux系统编程29:进程信号之什么是信号及signal函数
  7. vue中使用window.open会在url前自动添加本地服务器的地址bug修复
  8. C#3.0亮点 —— lambda表达式
  9. 区块链技术让食品安全体系更完善
  10. 疯狂Java讲义第五版读书笔记
  11. PCBlayout设计
  12. 【油猴插件】用Tampermonkey来实现百度云满速下载和批量离线
  13. 妹子,你早该放弃了...
  14. linux 下的无线网络配置,详解在LINUX环境下怎样设置无线网络配置
  15. H.264再学习 -- 详解 H.264 NALU语法结构
  16. python修改excel表格_python操作excel表格(xlrd/xlwt)以及表格的修改(OpenPyXL)
  17. 点线面的意义_论文:点线面在设计中的运用
  18. 实现根据相机视角输入WASD移动和转向的功能
  19. MySQL 慢查询日志介绍
  20. DayDayUp:心灵鸡汤之天空飘来五个字~那都不是事(一问一答告诉你什么是高层次的认知)

热门文章

  1. u盘驱动 内核代码阅读 2.6.11.12版本
  2. linux -- framebuff驱动总结
  3. c语言停止线程,如何用C语言实现多线程
  4. 搜狗拼音输入法5.0_如何用搜狗拼音输入法输入生僻字?
  5. python两个乘号_Python小白入门:第一讲||变量和简单数据类型
  6. python php array,python处理PHP数组文本文件实例
  7. cdn与服务器的关系_IPFS是一个天生的CDN,将会在全世界进行内容加速
  8. linux sqlite图形工具,Linux操作系统下的几款svn gui工具介绍
  9. python 字符匹配_python 中如何匹配字符串
  10. 【以太坊】私有链和测试网的区别