黑客後門程序利用 IRC 聊天工具進行傳播

【賽迪網－IT技術報道】「IRC肉雞311296」（Win32.Hack.SdBot.311296），這是一個黑客後門程序，它利用IRC聊天工具進行傳播，然後在用戶電腦上製造後門，使病毒作者可以對中毒電腦進行非法遠程控制。

「大口袋盜號者86016」（Win32.PSWTroj.OnlineGames.uy），這是一個盜號木馬程序。該程序可準確記錄用戶從鍵盤敲入的所有賬號、密碼等敏感信息，然後發送到木馬種植者指定的遠程地址。

一、「IRC肉雞311296」（Win32.Hack.SdBot.311296） 威脅級別：★★

即時聊天工具因其獨有的便捷性，使人們的交流變得越來越容易，從而擴大了信息傳播的覆蓋面。但也正是這一點，一些惡意程序紛紛將即時聊天工具作為作案工具。相信用戶們對QQ尾巴、MSN聖誕蟲等木馬肯定不會陌生，它們就是利用即時聊天工具進行傳播的。而此次我們要提醒廣大用戶注意的，是一個IRC木馬。

IRC是英文Internet Relay Chat的縮寫，它是一個1988年起源於芬蘭的即時聊天方式，目前廣泛應用於全世界 60多個國家。與會自動傳播QQ尾巴那種，這個IRC木馬是一個後門程序，它被人為地隱藏在某些正常文件中，然後發給用戶。當進入用戶電腦後，它會將病毒文件klog.txt和SERVICE.EXE釋放到系統盤的%WINDOWS%/system32/目錄下，並修改註冊表啟動項實現自動啟動。

隨後，該木馬主動連接木馬作者指定的IRC聊天伺服器，使木馬作者能以「聊天」的方式不斷地向中毒電腦發送命令。經毒霸反病毒工作人員分析，其中對用戶危害較大的主要命令有記錄用戶的鍵盤動作、抓取用戶的屏幕、下載文件、向遠端計算機發起DOS攻擊、自我更新、關閉指定的進程、開啟用戶機器上的默認共享、將獲取的用戶信息發送給指定郵箱等。

雖然此木馬具有如此大的威脅，但對它的防範，說到底，也沒有什麼特別需要注意的地方，依然是「養成良好的上網習慣」，比如不要隨便接收別人發給的文件和過於貪圖IRC上的免費資源。畢竟相當一部分時候，不法分子是利用你的好奇心和佔便宜心理來作案的。

二、「大口袋盜號者86016」（Win32.PSWTroj.OnlineGames.uy） 威脅級別：★★

盜號木馬的唯一任務就是盜取木馬種植者想要的資料和資料。此次毒霸捕獲的這個盜號木馬，它的作案目標範圍比較大，並不僅局限於網絡遊戲賬號。它在進入用戶電腦後，會將病毒文件krnj32drv.dll釋放到系統盤的%WINDOWS%/system32/下，建立全局監視程序，不斷注入所有進程中，尋找賬號、密碼、郵件地址等敏感信息的輸入對話框。

如果找到目標，病毒就展開鍵盤記錄，記下對話框的主題以及用戶通過鍵盤輸入這些對話框的全部信息。成功得手後，病毒在用戶無法察覺的情況下建立遠程連接，從後台將贓物發送到木馬種植者指定的網站。

經過毒霸工作人員分析，雖然此病毒的作案目標較大，但除盜竊敏感信息外，對系統沒有別的危害，並且毒霸可以查殺它，因此用戶們不必過於擔心。不過，仍需再次提醒大家，良好的上網習慣始終是最有效的反病毒措施，只要不上不良網站、不進行非法下載、同時及時給系統打補丁和升級安全軟體，我們系統的危險就會大大降低。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(