IRC BOT原来是利用IRC下发C&C命令——在xx云环境遇到了，恶意软件开的是6666端口

Backdoor/IRC.RpcBot

本词条缺少名片图，补充相关内容使词条更完整，还能快速升级，赶紧来编辑吧！

Backdoor/IRC.RpcBot是一些批处理文件、脚本文件和执行文件的集合，也是一种黑客工具，这些文件的名称是可以变化的。

 

中文名

Backdoor/IRC.RpcBot

类    别

病毒

威胁级别

一星

类    型

木马

目录

1. 1 基本信息
2. 2 行为分析

基本信息

Backdoor/IRC.RpcBot

病毒长度：变长

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me

Backdoor/IRC.RpcBot通过 DCOM RPC 漏洞传播自身，木马作者可以完全控计算机。

行为分析

1.创建文件夹C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS，并在其下复制为Bot.rar。

2.将WinOLE.exe(mIRC客户端程序补丁)作为一项服务运行，并通过注册表HKEY_LOCAL_MACHIN\Software\Classes挂钩于IRC扩展名的文件，达到一开始运行聊天工具便调用WinOLE.exe文件的目的。

3.运行下列文件：

Dhcpp.exe --- TFTP服务

Nctl.exe --- FTP服务

Eeents.exe --- IRC代理服务

4.修改注册表：

/设注册表：HKEY_LOCAL_MACHINE\SOFTWARE\TFTPD32

下的键值为：

"BaseDirectory"="C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS"

"TftpPort"="00000045"

"Hide"="00000001"

"WinSize"="00000000"

"Negociate"="00000000"

"DirText"="00000000"

"ShowProgressBar"="00000000"

"Timeout"="00000003"

"MaxRetransmit"="00000006"

"SecurityLevel"="00000000"

"UnixStrings"="00000000"

"LocalIP"=""

"Beep"="00000000"

"VirtualRoot"="00000000"

"Services"="00000003"

"TftpLogFile"=""

"SaveSyslogFile"=""

/设注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters

下的键值为："DisableWebDAV"="00000001"

/设注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

下的键值为：

"EnableDCOM"="N"

"EnableRemoteConnect"="N"

4.连接特定的IRC服务器并加入一个频道，在此监听木马作者发出的指令。利用DCOM RPC漏洞，通过连接随机产生的IP地址找到目标计算机进行监听其TCP 端口135，一旦成功它便开始向目标计算机传输数据，并创建文件夹C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS ,然后在此目录下利用TFTP引入木马组件bot.rar,unrar.bat和unrar.exe，并运行木马自身。