2004年年初，IRC后门病毒开始在全球 *** 大规模出现。一方面有潜在的泄漏本地信息的危险，另一方面病毒出现在局域网中使 *** 阻塞，影响正常工作，从而造成损失。

　　同时，由于病毒的源代码是公开的，任何人拿到源码后稍加修改就可编译生成一个全新的病毒，再加上不同的壳，造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形，给病毒查杀带来很大困难。本文先从技术角度介绍IRC后门病毒，然后介绍其手工清除 *** 。

　　一、技术报告

　　IRC病毒集黑客、蠕虫、后门功能于一体，通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典，用户如不设置密码或密码过于简单都会使系统易受病毒影响。

　　病毒运行后将自己拷贝到系统目录下(Win2K/NT/XP操作系统为系统盘的system32，win9x为系统盘的system)，文件属性隐藏，名称不定，这里假设为xxx.exe，一般都没有图标。病毒同时写注册表启动项，项名不定，假设为yyy。病毒不同，写的启动项也不太一样，但肯定都包含这一项：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

　　\Run\yyy:xxx.exe

　　其他可能写的项有：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

　　\Run\yyy:xxx.exe

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

　　\RunServices\yyy:xxx.exe

　　也有少数会写下面两项：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

　　\RunOnce\yyy:xxx.exe

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

　　\RunOnce\yyy:xxx.exe

　　此外，一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。

　　病毒每隔一定时间会自动尝试连接特定的IRC服务器频道，为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令，病毒就会在本地执行不同的操作，并将本地系统的返回信息发回聊天室，从而造成用户信息的泄漏。这种后门控制机制是比较新颖的，即时用户觉察到了损失，想要追查黑客也是非常困难。

　　病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量 *** 带宽资源，容易造成局域网阻塞，国内不少企业用户的业务均因此遭受影响。

　　出于保护被IRC病毒控制的计算机的目的，一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己，而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。

　　二、手工清除 ***

　　所有的IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的启动项，并且项值只有文件名，不带路径，这给了我们提供了追查的线索。通过下面几步我们可以安全的清除掉IRC病毒。

　　1、打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项，找出可疑文件的项目。

　　2、打开任务管理器（按Alt+Ctrl+Del或在任务栏单击鼠标右键，选择“任务管理器”），找到并结束与注册表文件项相对应的进程。若进程不能结束，则可以切换到安全模式进行操作。进入安全模式的 *** 是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“SafeMode”或“安全模式”。

　　今天分享的Writeup是作者发现VPS和建站托管服务商的支付漏洞，通过一美分（$0.01）交易实现购买VPS和网站空间服务。

　　存在漏洞的两家网站

　　1. redaced.net ( 某VPS服务网站 )

　　2. redaced.com ( 某建站托管服务 )

　　某天，我想购买一个VPS服务作为 *** 侦测使用，于是我打开了VPS服务网站 redacted.net，我看到在它的购买项中有Paypal结算选项“Paypal Checkout” 。通常来说，在线支付服务会向Paypal(/cgi-bin/webscr)发送包含需要支付金额在内的POST数据请求，当然，如果在交易过程中的Paypal支付网关（Braintrees Payments）未设置合理的数据过滤/验证/措施，那么，攻击者就能修改需要支付的金额和其它相关数据。

　　例如，这里redacted.net网站在用户提交给Paypal的支付请求中，包含类似以下请求数据：

　　….&amount=1321&tax=12&….

　　然后，我找到了这个数据包，把它进行了一些修改，如下：

　　….&amount=0.01&tax=0&….

　　也就是说，我用一美分（$0.01）提交支付，之后，我竟然收到了redacted.net的确认邮件：

　　点击其中的 “Confirm My Payment” 支付确认后，我购买的VPS服务竟支付成功了！

　　第二是在某建站托管服务网站中，当我用虚拟货币购买其网站空间服务时，我发现交易过程中它仅检验Trx ID（TRONIX支付ID）的有效性，并不对实际需要支付的金额进行验证，所以，我又用上述 *** ，以一美分（$0.01）的价格，成功购买了价值差不多印尼卢比1.226.954（折合$90-&95）的网站空间。

　　2019.11.1 发现redacted.net支付漏洞并上报

　　2019.11.2 发现redacted.com支付漏洞并上报

　　2019.11.3 redacted.com奖励了我$500美金

　　2019.11.4 redacted.net奖励了我一百万印尼卢比 折合$71美金

　　*参考来源：medium，clouds 编译整理，转自 FreeBuf

图片查看：
查询分类：	攻击人民社会
用户提问：	如何购买黑 *** 务
状态：	已解决
调查用时：	635小时

在哪找黑客盗取监控视频

　　我手机就被人控制了反正是对方提示我能看到信息,恢复出厂设置可以破解,再被控制也是轻而易举啊

　　入侵的没有,但是你能拿到目标手机安装几个应用就能监控了,而且很隐秘!

　　黑客的控制别人手机的软件一般都自己写出来的程序,公开的软件是不可以在别人不知情的情况下控制别人的手机的,也有很多可以远程控制别人手机都合法软件,这是。

　　黑客真的能根据手机号码找到您的位置,无论是否关机,只要你的手机卡在你的手机里,就能找到你。“黑客”也可以指:1.泛指擅长IT技术的人群、计算机科学。

　　这个你可以去网上找骚扰短信群发的,软件都是免费的!你可以学习一下雷公黑客教程会让你明白更多的知识!随便骚扰别人是不好的行为!

　　如果没有私密的东西,可以找修手机的帮忙,如果有就自己网上找工具

　　手机被黑客入侵了,顶多是盗取你的照片短信,个人通讯录。如果说要收到你的微信qq等记录,除非是拿到了你的 *** 和微信密码,并且还知道微信qq文件的解。

　　手机定位,如果没开启过的话,赶紧把 *** 号码冻结吧。

　　控制手机没有办法,控制电脑倒是有可能。当然,其实不是黑客,也可以试试用 *** 人远程控制软件远程控制电脑。

　　。..犯法的!就算真有这东西,被发现的话,你都可以坐牢的。

　　PC远程控制手机手机端设置 *** 这里我们要使用一款叫做Webkey的手机应用,用户只需要在手机上安装这款应用并进行简单设置以后,就可以在电脑上通过浏览器远程。

　　这个啊,在 *** 里面都有这种教程的,国内的目前还没普及中!

　　其实这个问题。不好多说,不过行内人都知道,为毛不惜血本大力推广APP因为很多app本身带着后门,随便安装几个软件,推广个广告你都察觉不到。别说什么。

　　你可以在对方手机里面安装远控程序,用杀毒软件可以检查出来还有对方的系统不同,采用的 *** 也不同

　　你解决定位的事情了吗?我也需要,

　　你手机里面是存储了多大的军事机密?这么值得被黑客攻击你的手机?你没有上图,并没有详细说明什么原因,你直接在标题称你的手机被黑客攻击了,我们怎么知道。

其他问题提问	相关问题回答
在哪找黑客帮忙	恶意监控联通
在哪里可以找黑客帮忙	发布风险大学
24小时在线黑客联系方式	发布尾汁百度
黑客免费找qq号	发布杨洁箎语言
在哪找黑客比较靠谱	网址工作发布