2004年年初,IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失。
同时,由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难。本文先从技术角度介绍IRC后门病毒,然后介绍其手工清除方法。
一、技术报告
IRC病毒集黑客、蠕虫、后门功能于一体,通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典,用户如不设置密码或密码过于简单都会使系统易受病毒影响。
病毒运行后将自己拷贝到系统目录下(Win2K/NT/XP操作系统为系统盘的system32,win9x为系统盘的system),文件属性隐藏,名称不定,这里假设为xxx.exe,一般都没有图标。病毒同时写注册表启动项,项名不定,假设为yyy。病毒不同,写的启动项也不太一样,但肯定都包含这一项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\yyy:xxx.exe
其他可能写的项有:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\yyy:xxx.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\yyy:xxx.exe
也有少数会写下面两项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy:xxx.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy:xxx.exe
此外,一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。
病毒每隔一定时间会自动尝试连接特定的IRC服务器频道,为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令,病毒就会在本地执行不同的操作,并将本地系统的返回信息发回聊天室,从而造成用户信息的泄漏。这种后门控制机制是比较新颖的,即时用户觉察到了损失,想要追查黑客也是非常困难。
病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量网络带宽资源,容易造成局域网阻塞,国内不少企业用户的业务均因此遭受影响。
出于保护被IRC病毒控制的计算机的目的,一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己,而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。
二、手工清除方法
所有的IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的启动项,并且项值只有文件名,不带路径,这给了我们提供了追查的线索。通过下面几步我们可以安全的清除掉IRC病毒。
1、打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项,找出可疑文件的项目。
2、打开任务管理器(按Alt+Ctrl+Del或在任务栏单击鼠标右键,选择“任务管理器”),找到并结束与注册表文件项相对应的进程。若进程不能结束,则可以切换到安全模式进行操作。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“SafeMode”或“安全模式”。
今天分享的Writeup是作者发现VPS和建站托管服务商的支付漏洞,通过一美分($0.01)交易实现购买VPS和网站空间服务。
存在漏洞的两家网站
1. redaced.net ( 某VPS服务网站 )
2. redaced.com ( 某建站托管服务 )
某天,我想购买一个VPS服务作为网络侦测使用,于是我打开了VPS服务网站 redacted.net,我看到在它的购买项中有Paypal结算选项“Paypal Checkout” 。通常来说,在线支付服务会向Paypal(/cgi-bin/webscr)发送包含需要支付金额在内的POST数据请求,当然,如果在交易过程中的Paypal支付网关(Braintrees Payments)未设置合理的数据过滤/验证/措施,那么,攻击者就能修改需要支付的金额和其它相关数据。
例如,这里redacted.net网站在用户提交给Paypal的支付请求中,包含类似以下请求数据:
….&amount=1321&tax=12&….
然后,我找到了这个数据包,把它进行了一些修改,如下:
….&amount=0.01&tax=0&….
也就是说,我用一美分($0.01)提交支付,之后,我竟然收到了redacted.net的确认邮件:
点击其中的 “Confirm My Payment” 支付确认后,我购买的VPS服务竟支付成功了!
第二是在某建站托管服务网站中,当我用虚拟货币购买其网站空间服务时,我发现交易过程中它仅检验Trx ID(TRONIX支付ID)的有效性,并不对实际需要支付的金额进行验证,所以,我又用上述方法,以一美分($0.01)的价格,成功购买了价值差不多印尼卢比1.226.954(折合$90-&95)的网站空间。
2019.11.1 发现redacted.net支付漏洞并上报
2019.11.2 发现redacted.com支付漏洞并上报
2019.11.3 redacted.com奖励了我$500美金
2019.11.4 redacted.net奖励了我一百万印尼卢比 折合$71美金
*参考来源:medium,clouds 编译整理,转自 FreeBuf
图片查看:
查询分类: 攻击人民社会
用户提问: 如何购买黑客服务
状态: 已解决
调查用时: 635小时
在哪找黑客盗取监控视频
我手机就被人控制了反正是对方提示我能看到信息,恢复出厂设置可以破解,再被控制也是轻而易举啊
入侵的没有,但是你能拿到目标手机安装几个应用就能监控了,而且很隐秘!
黑客的控制别人手机的软件一般都自己写出来的程序,公开的软件是不可以在别人不知情的情况下控制别人的手机的,也有很多可以远程控制别人手机都合法软件,这是。
黑客真的能根据手机号码找到您的位置,无论是否关机,只要你的手机卡在你的手机里,就能找到你。“黑客”也可以指:1.泛指擅长IT技术的人群、计算机科学。
这个你可以去网上找骚扰短信群发的,软件都是免费的!你可以学习一下雷公黑客教程会让你明白更多的知识!随便骚扰别人是不好的行为!
如果没有私密的东西,可以找修手机的帮忙,如果有就自己网上找工具
手机被黑客入侵了,顶多是盗取你的照片短信,个人通讯录。如果说要收到你的QQqq等记录,除非是拿到了你的QQ和QQ密码,并且还知道QQqq文件的解。
手机定位,如果没开启过的话,赶紧把电话号码冻结吧。
控制手机没有办法,控制电脑倒是有可能。当然,其实不是黑客,也可以试试用网络人远程控制软件远程控制电脑。
。..犯法的!就算真有这东西,被发现的话,你都可以坐牢的。
PC远程控制手机手机端设置方法这里我们要使用一款叫做Webkey的手机应用,用户只需要在手机上安装这款应用并进行简单设置以后,就可以在电脑上通过浏览器远程。
这个啊,在youtube里面都有这种教程的,国内的目前还没普及中!
其实这个问题。不好多说,不过行内人都知道,为毛不惜血本大力推广APP因为很多app本身带着后门,随便安装几个软件,推广个广告你都察觉不到。别说什么。
你可以在对方手机里面安装远控程序,用杀毒软件可以检查出来还有对方的系统不同,采用的方法也不同
你解决定位的事情了吗?我也需要,
你手机里面是存储了多大的军事机密?这么值得被黑客攻击你的手机?你没有上图,并没有详细说明什么原因,你直接在标题称你的手机被黑客攻击了,我们怎么知道。
其他问题提问
相关问题回答
在哪找黑客帮忙 恶意监控联通
在哪里可以找黑客帮忙 发布风险大学
24小时在线黑客联系方式 发布尾汁百度
黑客免费找qq号 发布杨洁箎语言
在哪找黑客比较靠谱 网址工作发布
