如今網上傳播的反彈型木馬以國產的最為常見,例如灰鴿子(牽手 2004)、黑洞2004、安哥等等。下面我們就以最新的木馬──灰鴿子(牽手 2004)為例,介紹現在的木馬都是如何生成、種植、使用、隱藏和防范的,其他的反彈型木馬與之類似,我們就不展開介紹了。
軟件小資料
運行灰鴿子,在主界面點擊“配置服務程序”命令,彈出“服務端配置”畫面,單擊“連接類型”選項卡(如下圖1),可以選擇與木馬服務端的連接方式。如果你想生成普通木馬,可以選擇“主動連接型”,這樣木馬運行后、就會打開別人機器上的TCP:2513端口監聽,等待你的控制連接,這是傳統的木馬,很容易被人發現。如果你選擇“自動上線型”,則生成反彈型木馬,然后在“URL轉向域名”、“DNS解析域名”、“網頁文件”三項中任填一個,例如在“URL轉向域名”欄中,填入你事先注冊好的域名http://lacl.icpcn.com,這樣木馬服務端一上線就會連接這個地址,控制端于是便得知服務端已上線,自動與服務端連接。
圖 1
接下來單擊打開“安裝信息”選項卡,在“安裝路徑”欄選擇“<System DIR>”(如下圖2),把木馬服務端安裝在他人硬盤的系統目錄(WinXP為Windows\system32,WinMe/98為Windows\system)下,你也可以選擇<Windows DIR>或<temp DIR>,把服務端安裝在其他位置;在“安裝名稱”欄輸入“G.jpg.exe”,給服務端程序起個名字;勾選“自動刪除安裝文件”。
圖 2
單擊打開“啟動項目”選項卡,設置木馬服務端在他人的機器上如何自啟動,建議全勾選(如下圖3),這樣在Win9x下會寫入注冊表啟動項,WinXP/2000下會安裝成Hgz_Server服務啟動,你可以更改服務的顯示名稱(默認為Hgz_Server),應該把“描述信息”刪空。
圖 3
單擊打開“綁定文件”選項卡,勾選“每次啟動自動加載”(如下圖4),單擊“文件路徑”右邊的小按鈕,選擇一幅圖片(例如banner.jpg),然后按“增加”按鈕,把木馬服務端與該圖片綁定,最后選擇保存路徑,按“生成服務器”,木馬服務端安裝文件就產生了。以后只要你單擊這個安裝文件,就會中了木馬!表現為顯示剛才綁定的圖片,同時木馬服務端將悄悄地安裝在你的硬盤中。
圖 4
二、把木馬植入他人的電腦中
現在我們要把木馬服務端投到別人的電腦中。種植木馬的方法有很多,例如Email夾帶,把服務端作為附件寄給對方;建一個網站,偽裝成XXXX軟件的破解版,引誘他人下載服務端文件;通過系統漏洞入侵他人電腦,把木馬服務端傳過去;把服務端偽裝后放到自己的共享文件夾,欺騙網友用P2P軟件下載并運行之。下面我們以Email夾帶為例,介紹種植木馬的方法。
首先啟動Outlook等Email軟件,撰寫一封新郵件,將剛才生成的木馬服務端安裝文件壓縮成一個文件,放到郵件的附件中,編寫一個誘人的主題,例如“驚天消息:大興安嶺抓住外星人,請看現場照片……”,對方收到郵件后,如果好奇打開附件、單擊該木馬安裝文件,就會顯示綁定的圖片,其他什么現象也沒有,重新啟動系統后,木馬服務端就種植成功了。
三、遠程控制對方
以上投毒成功后,控制對方的電腦就很容易了,只要使用客戶端即可。由于是反彈型木馬,所以服務端上線后會自動連接客戶端,此時你可以啟動灰鴿子,操控客戶端對服務端進行遠程控制。在軟件主界面列表中(如下圖5),隨便選擇一臺已經上線的電腦,然后單擊打開選項卡對這臺電腦進行分類控制,選項卡有“文件管理器”、遠程控制命令、注冊表模擬器、遠程監控、文件傳輸管理、命令廣播。
圖 5
文件管理器:在該選項卡中,你可以隨意的下載對方機器中的文件,而且還支持斷點傳輸。你可以象操作“Windwos資源管理器”那樣,下載、新建、重命名、刪除對方電腦中的文件,還可以把對方的文件上傳到FTP服務器上保存。
遠程控制命令:在這里,你可以查看對方的系統信息、剪切板中內容;查看、終止對方的進程,例如發現有殺毒軟件或防火墻,即可終止對應的進程,以便保護服務器端;你可以啟動、關閉對方的服務;查看對方共享的信息;關閉或恢復對方的程序窗口;遠程運行DOS命令控制對方,卸載、重新加載服務端,遠程關機或重啟等。
遠程監控:這里你可以啟動語音監聽、或發送,如果對方有麥克風,你就可以聽到他們的談話,而且你還可以向對方發送文字信息。
四、木馬服務端的加殼保護
KV2004等殺毒軟件(最新的病毒庫)很容易發現、查殺以上木馬,為了逃避殺毒軟件的查殺,你可以使用壓縮軟件對木馬服務端進行加殼保護,目前加殼的軟件有很多,例如ASPack、ASProtect、UPXShell、Petite等。下面我們就以ASPack(下載地址http://www.fz20.com/down.asp?id=3465&no=2)為例,介紹給木馬加殼的方法:
啟動ASPack(如上圖6),點擊“open(打開)”按鈕,選擇要加殼的木馬服務端程序,ASPack就會自動進行加殼。加殼完成后,殺毒軟件就不能查殺該木馬了。假如殺毒軟件依舊可以查殺,你可以使用其他壓縮軟件(例如ASProtect)對服務端再次加殼,這樣處理之后,殺毒軟件一般不可能再查殺原來的木馬了。
圖 6
五、灰鴿子的手工清除
機器里中了灰鴿子之后,如果是WinMe/9x系統,木馬會修改注冊表自啟動項,手工清除方法:首先要禁止它開機自動運行,點開始/運行,輸入msconfig點確定,在系統配置實用程序中選“啟動項”,然后把SVCHOST前面的勾去掉,點確定后退出;接下來在運行中輸regedit 進入注冊表,查找SVCHOST(注意是大寫的),刪除找到的SVchost.ini、mapis32a.dll、%systemroot%F4.Jpg,關機重啟;最后運行TcpView,檢查你的2513端口是否開著。
如果是WinXP/2000系統,木馬會啟動灰鴿子服務(服務名稱默認為Hgz_Server,可以是其他名稱),因此刪除該木馬,首先要關閉這個服務,單擊“開始”/設置/控制面板,雙擊“管理工具”/服務,禁止該服務;然后在該服務“屬性”中查出對應的執行文件位置,刪除執行文件即可。
反彈型木馬防范篇
為了防范越來越猖獗的反彈型木馬,我們為你準備了以下的措施,通過對網絡自身的設置,以及軟件的幫助,你能更好的防護反彈型木馬對你的攻擊:
一、關閉不用的端口
默認情況下Windows有很多端口是開放的,在你上網的時候,網絡病毒和黑客可以通過這些端口連上你的電腦,為了讓你的系統銅墻鐵壁,應該封閉這些端口,主要有:TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口,一些流行病毒的后門端口(如 TCP 2513、2745、3127、6129 端口),以及遠程服務訪問端口3389。
137、138、139、445端口都是為共享而開的,是NetBios協議的應用,你應該禁止別人共享你的機器,所以要把這些端口全部關閉,方法是:單擊“開始”/控制面板/系統/硬件/設備管理器,單擊“查看”菜單下的“顯示隱藏的設備”,單擊“非即插即用驅動程序”,找到Netbios over Tcpip禁用該設備,重新啟動后即可。
關閉UDP123端口:單擊“開始”/設置/控制面板,雙擊“管理工具”/服務,停止windows time服務即可,關閉UDP 123端口,可以防范某些蠕蟲病毒。
關閉UDP1900端口:在控制面板中雙擊“管理工具”/服務,停止SSDP Discovery Service 服務即可。關閉這個端口,可以防范DDoS攻擊。
其他端口你可以用網絡防火墻關閉之,或者在控制面板中,雙擊“管理工具”/本地安全策略,選中“IP 安全策略,在本地計算機”,創建 IP 安全策略來關閉這些端口。
二、安裝殺毒軟件
及時安裝升級殺毒軟件(例如KV2004等)及其病毒庫,并及時給系統打上的安全補丁。上網時要特別注意,木馬無處不在!不要隨意下載來歷不明的文件,只下載使用官方的升級程序;不要接收陌生人的郵件,如果有附件,也不要打開附件,更不要執行附件中的可執行程序,注意病毒程序偽裝的圖標,不要輕信圖標為“電子表格、文本文件、文件夾”的附件。
三、使用反木馬軟件
使用專門的反木馬軟件,及時升級軟件和病毒庫,這是查殺木馬最簡單的方法。目前反木馬軟件數量眾多,著名的有金山毒霸木馬專殺、諾頓安全特警、木馬克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木馬清除大師等。
1、金山毒霸木馬專殺
金山木馬專殺既是一個木馬專殺工具(可以查殺2萬多種木馬),又是一個木馬防火墻,可以有效地保護你的QQ號碼、網游以及網絡支付安全,快速清除遠程控制型、盜取密碼型、進程注入型木馬以及反彈端口型木馬。
2、諾頓安全特警
諾頓安全特警(NIS2004)是塞門鐵克公司推出了優秀的網絡安全軟件,能夠查殺木馬病毒、進行入侵檢測,具備個人防火墻等功能;軟件新增加的反垃圾郵件功能非常實用,多網絡環境支持、Web助手等新功能也很貼心。在網絡木馬和病毒越來越多的今天,有必要請一個“特警”回來護駕,不過,它體積大、資源占用過多。
3、木馬克星(Iparmor)
木馬克星是國人開發的一款防殺木馬的軟件,擅長查殺國產木馬、對查殺最近非常流行的網絡神偷、網吧殺手、鍵盤幽靈以及捆綁在圖片文件中的木馬非常有效。它體積不大(安裝文件只有3.7MB),可以用閃存隨身攜帶,方便你在網吧電腦中安裝使用。
4、Anti-Trojan Shield
Anti-Trojan Shield是一款享譽歐洲的專業木馬偵測、攔截及清除軟件,目前可以查殺9468種木馬和病毒,其特點是界面簡捷,雖是英文但只要你會用殺毒軟件,就能很容易操作該軟件。
5、TrojanHunter(木馬獵手)
TrojanHunter是一款非常不錯的防木馬軟件,可以在Win9X/NT/2000/XP系統中運行,能夠發現流行的木馬。
6、The Cleaner Professional
The Cleaner Professional 是MooSoft公司開發的查殺木馬軟件,可以查殺各種木馬、蠕蟲、鍵盤記錄機、間諜程序等。軟件包括Cleaner、TCActive、TCMonitor等組件,其中Cleaner專門查殺木馬等病毒,TCActive用來顯示當前正在運行的所有進程,TCMonitor負責后臺監視系統文件和注冊表是否被修改,如果發現被修改即報警。
7、木馬清除大師正式版
木馬清除大師(BeatTrojan)能查殺5800余種國際國內流行木馬、網絡游戲盜號工具、QQ盜密碼工具、幽靈后門,查殺率在95%以上,正式版還加強了對第五代木馬的查殺,更加人性化的進程管理設計,能完美的查殺各種無進程木馬。
四、使用第三方防火墻
Win XP自帶的放火墻和ADSL貓的NAT方式,只能防止從外到內的連接,不能阻擋從內到外的連接,因此這類防火墻不能阻擋反彈型木馬。
防范反彈型木馬,最好的辦法是安裝使用第三方防火墻。因為一般的防火墻,都可以設置應用程序訪問網絡的權限,你可以把懷疑為木馬的程序,設置成不允許訪問網絡,這樣就能阻擋木馬從內到外的連接。建議你安裝使用天網防火墻、諾頓防火墻等一些著名的防火墻軟件,這類防火墻各大網站都有下載。
五、在線安全檢測
按照上面的方法查殺木馬后,如果你還不放心,可以在網上找個在線安全測試的網站,對你的系統當前安全情況進行檢查,不過在線檢測前,請關閉你的防火墻。目前這類測試各網站都是免費的,建議你去下面知名的網站測試:
諾頓是網絡安全的鼻祖,它的風險評估是非常及時和全面的。該網站提供了活動的木馬程序掃描,利用木馬常用的方法嘗試與你的電腦進行Internet 通信;它還可以掃描你的網絡漏洞、NetBIOS可用性,確定黑客是否能訪問你機器中的信息。掃描完成后,會顯示詳細的分析結果。
著名的殺毒廠商金山公司提供的在線木馬專殺服務,目前該服務完全免費。
.net.cn/main/view.php?cid=170" target=_blank>3、天網安全在線
可進行木馬檢測、端口掃描、信息泄漏檢查、系統安全性檢查。檢測時會出現倒計時,在倒數時間內,如果你的電腦出現藍屏死機,則表示你的電腦不安全,你可以下載該網站提供的個人電腦網絡安全軟件,來修補目前的安全漏洞。
免費檢查你的電腦有那些端口開放或關閉,是否有木馬;與“北京趨勢科技”合作,提供了在線按需掃描病毒服務。
藍盾安全實驗室研制、開發的在線安全檢測系統,可以檢查你的系統中是否有漏洞,可掃描你的端口,檢查你的電腦中是否有木馬和信息泄漏。
六、經常用Tcpview觀察連接情況
為了防范未知的反彈型木馬,你可以經常使用Tcpview檢查連接情況(如下圖7),這樣就能隨時發現哪個連接有可能是非法連接。
圖 7
例如上圖中本機的TCP 135端口正在監聽,眾所周知,135端口是RPC服務打開的端口,如果你把RPC服務停掉,雖然可以關閉135端口,但是計算機也就關機了。沖擊波病毒利用的就是135端口,建議你使用第三方防火墻,設置外界不能連接本機的135端口。
注意:如果tcp協議的linsten在1025端口以上,則可能是木馬,大家就要警惕了。例如上圖灰鴿子打開了本機的TCP 2513端口進行監聽,這是主動連接方式(非反彈連接),你可以斷定這是非法連接。此時你應該右擊該連接,選擇連接屬性,記錄下執行文件的名稱和位置,然后選擇“End Process”結束連接,最后再刪除對應的執行文件。