浅谈irc木马
随着防火墙的的不断更新,使用传统的木马越来越是"捉襟见衬";小型局部网络(家里或公司的局
部网络)的数目在不断地增加中,要使用传统木马去控制局部网内的分机是几乎没可能的,大势
所趋,要解决这类的困难,我们就要使用另类的木马了。国产的网络神偷可以控制到网络内的分
机,但依赖于主页空间,而且亦是有客户端程序的,服务器容量亦不上,实现的功能较多。现行
要于irc上控制的木马并不多,国产的就应该还没有,最著名的还是我介绍过的Slackbot了,经过
压缩后不到10K,但已经实现上载,远程执行和远程攻击功能了。远程攻击功能应该是irc木马的最
大的一个特点了,因为irc上可以聚集上一定数量的马去对某个目标进行攻击,这就是常说的d.o.s攻击了,因为irc可以提供一个理想的环境让使用者一次性的控制很大数量的系统去进行攻击,
传统的木马是根本没可能的(没可能你用客户端连接上几十台系统再进行攻击吧).irc木马在被执
行后就连接到设置好的irc服务器中,并进入一个设置好的频道,所以可以控制这些马的人根本
没有和这些系统有直接的连接产生,所以是很安全的,上irc上去可以使用代理,这更加减少暴
露自己真正身份的可能性.一般的传统木马,如果不加入代理进行连接,是很容易暴露自己的,
特别是现在防火墙"泛滥"的日子,被记录下IP的可能性毕竟很高,如果使用代理连接的话,只有
很少的木马是本身带着支持代理功能的,对于本身没带支持代理的木马,就可多使用一类像socks
cap32的程序去使这类木马支持代理去连接,这样会多启动一个程序,而且使用代理进行连接会使
速度减慢许多的,所以在安全性方便,irc木马是比传统木马更不容易暴露用户的真正身份的。随
着irc木马的不断发展,更多的功能会加进去,例如远程列出对方系统的文件和目录,远程捕获对
方屏幕,远程下载(这几个功能已经有这类木马实现了,只是还不是十分完美),还有很多的功能都
可以加进去的,有一个叫Dsnx的irc木马就非常的安全,你可以设置你自己的hostmark的,hostmark是你的ISP的域名,例如我使用的是shaw公司的宽频服务,我的hostmark就会是shaw-van-ca这样的,或者可以设置你的IP进去,让马儿去识别。当你要验证密码时,马儿首先会看看你的
hostmark或IP的,如果和原来设置的hostmark或IP不符时,就算你的密码是正确的,你一样是控
制不到这些马的,这样就减少被人偷马的机会了。不过dsnx这个木马还不是很稳定,下一版应该
会好很多的。irc木马还可以利用其它很多的标志使到只有符合某一类的标志的使用者才可以控制
到这些马的,我相信将来这类木马的发展中,这些安全验证密码机制会比一般的传统木马要高很
多的。
