扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
反弹型木马原理
目前反弹型木马非常流行,这类木马与传统的远程控制软件相反,进行C/S(客户端/服务器)的反向连接。当木马服务端被种植到他人的机器中,服务端运行后,会动态分配一个端口,主动连接客户端(黑客)的80端口,如果你用“netstat -a”命令检查,将显示“TCP 本机IP:2513 远程IP:80 ESTABLISHED”类似的数据,好象是在浏览网页,因此防火墙也不会阻挡这种非法连接,给木马的防范带来了困难。
软件小资料
软件版本:灰鸽子(牵手2004)
软件大小:2008KB
一、生成木马的服务端
打开下载文件,你会发现灰鸽子只有控制端程序,并没有现成的服务器端程序,现在流行的木马都是这样,需要我们动手生成木马的服务端,然后把它种植到被控制者的机器中。下面我们来生成木马的服务端:
运行灰鸽子,在主界面点击“配置服务程序”命令,弹出“服务端配置”画面,单击“连接类型”选项卡(如下图1),可以选择与木马服务端的连接方式。如果你想生成普通木马,可以选择“主动连接型”,这样木马运行后、就会打开别人机器上的TCP:2513端口监听,等待你的控制连接,这是传统的木马,很容易被人发现。如果你选择“自动上线型”,则生成反弹型木马,然后在“URL转向域名”、“DNS解析域名”、“网页文件”三项中任填一个,例如在“URL转向域名”栏中,填入你事先注册好的域名http://lacl.icpcn.com,这样木马服务端一上线就会连接这个地址,控制端于是便得知服务端已上线,自动与服务端连接。
图1
图 2
单击打开“启动项目”选项卡,设置木马服务端在他人的机器上如何自启动,建议全勾选(如下图3),这样在Win9x下会写入注册表启动项,WinXP/2000下会安装成Hgz_Server服务启动,你可以更改服务的显示名称(默认为Hgz_Server),应该把“描述信息”删空。
图 3
单击打开“绑定文件”选项卡,勾选“每次启动自动加载”(如下图4),单击“文件路径”右边的小按钮,选择一幅图片(例如banner.jpg),然后按“增加”按钮,把木马服务端与该图片绑定,最后选择保存路径,按“生成服务器”,木马服务端安装文件就产生了。以后只要你单击这个安装文件,就会中了木马!表现为显示刚才绑定的图片,同时木马服务端将悄悄地安装在你的硬盘中。
图 4
二、把木马植入他人的电脑中
现在我们要把木马服务端投到别人的电脑中。种植木马的方法有很多,例如Email夹带,把服务端作为附件寄给对方;建一个网站,伪装成XXXX软件的破解版,引诱他人下载服务端文件;通过系统漏洞入侵他人电脑,把木马服务端传过去;把服务端伪装后放到自己的共享文件夹,欺骗网友用P2P软件下载并运行之。下面我们以Email夹带为例,介绍种植木马的方法。
首先启动Outlook等Email软件,撰写一封新邮件,将刚才生成的木马服务端安装文件压缩成一个文件,放到邮件的附件中,编写一个诱人的主题,例如“惊天消息:大兴安岭抓住外星人,请看现场照片……”,对方收到邮件后,如果好奇打开附件、单击该木马安装文件,就会显示绑定的图片,其他什么现象也没有,重新启动系统后,木马服务端就种植成功了。
三、远程控制对方
以上投毒成功后,控制对方的电脑就很容易了,只要使用客户端即可。由于是反弹型木马,所以服务端上线后会自动连接客户端,此时你可以启动灰鸽子,操控客户端对服务端进行远程控制。在软件主界面列表中(如下图5),随便选择一台已经上线的电脑,然后单击打开选项卡对这台电脑进行分类控制,选项卡有“文件管理器”、远程控制命令、注册表模拟器、远程监控、文件传输管理、命令广播。
图 5
文件管理器:在该选项卡中,你可以随意的下载对方机器中的文件,而且还支持断点传输。你可以象操作“Windwos资源管理器”那样,下载、新建、重命名、删除对方电脑中的文件,还可以把对方的文件上传到FTP服务器上保存。
远程控制命令:在这里,你可以查看对方的系统信息、剪切板中内容;查看、终止对方的进程,例如发现有杀毒软件或防火墙,即可终止对应的进程,以便保护服务器端;你可以启动、关闭对方的服务;查看对方共享的信息;关闭或恢复对方的程序窗口;远程运行DOS命令控制对方,卸载、重新加载服务端,远程关机或重启等。
远程监控:这里你可以启动语音监听、或发送,如果对方有麦克风,你就可以听到他们的谈话,而且你还可以向对方发送文字信息。
四、木马服务端的加壳保护
KV2004等杀毒软件(最新的病毒库)很容易发现、查杀以上木马,为了逃避杀毒软件的查杀,你可以使用压缩软件对木马服务端进行加壳保护,目前加壳的软件有很多,例如ASPack、ASProtect、UPXShell、Petite等。下面我们就以ASPack(下载地址:点击下载)为例,介绍给木马加壳的方法:
启动ASPack(如上图6),点击“open(打开)”按钮,选择要加壳的木马服务端程序,ASPack就会自动进行加壳。加壳完成后,杀毒软件就不能查杀该木马了。假如杀毒软件依旧可以查杀,你可以使用其他压缩软件(例如ASProtect)对服务端再次加壳,这样处理之后,杀毒软件一般不可能再查杀原来的木马了。
图 6
五、灰鸽子的手工清除
机器里中了灰鸽子之后,如果是WinMe/9x系统,木马会修改注册表自启动项,手工清除方法:首先要禁止它开机自动运行,点开始/运行,输入msconfig点确定,在系统配置实用程序中选“启动项”,然后把SVCHOST前面的勾去掉,点确定后退出;接下来在运行中输regedit 进入注册表,查找SVCHOST(注意是大写的),删除找到的SVchost.ini、mapis32a.dll、%systemroot%F4.Jpg,关机重启;最后运行TcpView,检查你的2513端口是否开着。
如果是WinXP/2000系统,木马会启动灰鸽子服务(服务名称默认为Hgz_Server,可以是其他名称),因此删除该木马,首先要关闭这个服务,单击“开始”/设置/控制面板,双击“管理工具”/服务,禁止该服务;然后在该服务“属性”中查出对应的执行文件位置,删除执行文件即可。
反弹型木马防范篇
为了防范越来越猖獗的反弹型木马,我们为你准备了以下的措施,通过对网络自身的设置,以及软件的帮助,你能更好的防护反弹型木马对你的攻击:
一、关闭不用的端口
默认情况下Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑,为了让你的系统铜墙铁壁,应该封闭这些端口,主要有:TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口,一些流行病毒的后门端口(如 TCP 2513、2745、3127、6129 端口),以及远程服务访问端口3389。
137、138、139、445端口都是为共享而开的,是NetBios协议的应用,你应该禁止别人共享你的机器,所以要把这些端口全部关闭,方法是:单击“开始”/控制面板/系统/硬件/设备管理器,单击“查看”菜单下的“显示隐藏的设备”,单击“非即插即用驱动程序”,找到Netbios over Tcpip禁用该设备,重新启动后即可。
关闭UDP123端口:单击“开始”/设置/控制面板,双击“管理工具”/服务,停止windows time服务即可,关闭UDP 123端口,可以防范某些蠕虫病毒。
关闭UDP1900端口:在控制面板中双击“管理工具”/服务,停止SSDP Discovery Service 服务即可。关闭这个端口,可以防范DDoS攻击。
其他端口你可以用网络防火墙关闭之,或者在控制面板中,双击“管理工具”/本地安全策略,选中“IP 安全策略,在本地计算机”,创建 IP 安全策略来关闭这些端口。
二、安装杀毒软件
及时安装升级杀毒软件(例如KV2004等)及其病毒库,并及时给系统打上的安全补丁。上网时要特别注意,木马无处不在!不要随意下载来历不明的文件,只下载使用官方的升级程序;不要接收陌生人的邮件,如果有附件,也不要打开附件,更不要执行附件中的可执行程序,注意病毒程序伪装的图标,不要轻信图标为“电子表格、文本文件、文件夹”的附件。
四、使用第三方防火墙
Win XP自带的放火墙和ADSL猫的NAT方式,只能防止从外到内的连接,不能阻挡从内到外的连接,因此这类防火墙不能阻挡反弹型木马。
防范反弹型木马,最好的办法是安装使用第三方防火墙。因为一般的防火墙,都可以设置应用程序访问网络的权限,你可以把怀疑为木马的程序,设置成不允许访问网络,这样就能阻挡木马从内到外的连接。建议你安装使用天网防火墙、诺顿防火墙等一些著名的防火墙软件,这类防火墙各大网站都有下载。
五、在线安全检测
按照上面的方法查杀木马后,如果你还不放心,可以在网上找个在线安全测试的网站,对你的系统当前安全情况进行检查,不过在线检测前,请关闭你的防火墙。目前这类测试各网站都是免费的,建议你去下面知名的网站测试:
1、诺顿在线安全检测
诺顿是网络安全的鼻祖,它的风险评估是非常及时和全面的。该网站提供了活动的木马程序扫描,利用木马常用的方法尝试与你的电脑进行Internet 通信;它还可以扫描你的网络漏洞、NetBIOS可用性,确定黑客是否能访问你机器中的信息。扫描完成后,会显示详细的分析结果。
2、金山木马专杀
著名的杀毒厂商金山公司提供的在线木马专杀服务,目前该服务完全免费。
3、天网安全在线
可进行木马检测、端口扫描、信息泄漏检查、系统安全性检查。检测时会出现倒计时,在倒数时间内,如果你的电脑出现蓝屏死机,则表示你的电脑不安全,你可以下载该网站提供的个人电脑网络安全软件,来修补目前的安全漏洞。
4、千禧在线--在线检测
免费检查你的电脑有那些端口开放或关闭,是否有木马;与“北京趋势科技”合作,提供了在线按需扫描病毒服务。
5、蓝盾安全在线
蓝盾安全实验室研制、开发的在线安全检测系统,可以检查你的系统中是否有漏洞,可扫描你的端口,检查你的电脑中是否有木马和信息泄漏。
六、经常用Tcpview观察连接情况
为了防范未知的反弹型木马,你可以经常使用Tcpview检查连接情况(如下图7),这样就能随时发现哪个连接有可能是非法连接。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。