如今网上传播的反弹型木马以国产的最为常见,下面我们就介绍这种木马是如何生成、种植、使用、隐藏和防范的……
反弹型木马原理
目前反弹型木马非常流行,这类木马与传统的远程控制软件相反,进行C/S(客户端/服务器)的反向连接。当木马服务端被种植到他人的机器中,服务端运行后,会动态分配一个端口,主动连接客户端(黑客)的80端口,如果你用“netstat -a”命令检查,将显示“TCP
本机IP:2513
远程IP:80
ESTABLISHED”类似的数据,好象是在浏览网页,因此防火墙也不会阻挡这种非法连接,给木马的防范带来了困难。
反弹型木马攻击篇
如今网上传播的反弹型木马以国产的最为常见,例如灰鸽子(牵手 2004)、黑洞2004、安哥等等。下面我们就以最新的木马──灰鸽子(牵手 2004)为例,介绍现在的木马都是如何生成、种植、使用、隐藏和防范的,其他的反弹型木马与之类似,我们就不展开介绍了。
软件小资料
运行灰鸽子,在主界面点击“配置服务程序”命令,弹出“服务端配置”画面,单击“连接类型”选项卡(如下图1),可以选择与木马服务端的连接方式。如果你想生成普通木马,可以选择“主动连接型”,这样木马运行后、就会打开别人机器上的TCP:2513端口监听,等待你的控制连接,这是传统的木马,很容易被人发现。如果你选择“自动上线型”,则生成反弹型木马,然后在“URL转向域名”、“DNS解析域名”、“网页文件”三项中任填一个,例如在“URL转向域名”栏中,填入你事先注册好的域名http://lacl.icpcn.com,这样木马服务端一上线就会连接这个地址,控制端于是便得知服务端已上线,自动与服务端连接。
接下来单击打开“安装信息”选项卡,在“安装路径”栏选择“<System DIR>”,把木马服务端安装在他人硬盘的系统目录(WinXP为Windows/system32,WinMe/98为Windows/system)下,你也可以选择<Windows DIR>或<temp DIR>,把服务端安装在其他位置;在“安装名称”栏输入“G.jpg.exe”,给服务端程序起个名字;勾选“自动删除安装文件”。
单击打开“启动项目”选项卡,设置木马服务端在他人的机器上如何自启动,建议全勾选,这样在Win9x下会写入注册表启动项,WinXP/2000下会安装成Hgz_Server服务启动,你可以更改服务的显示名称(默认为Hgz_Server),应该把“描述信息”删空。
单击打开“绑定文件”选项卡,勾选“每次启动自动加载”,单击“文件路径”右边的小按钮,选择一幅图片(例如banner.jpg),然后按“增加”按钮,把木马服务端与该图片绑定,最后选择保存路径,按“生成服务器”,木马服务端安装文件就产生了。以后只要你单击这个安装文件,就会中了木马!表现为显示刚才绑定的图片,同时木马服务端将悄悄地安装在你的硬盘中。
二、把木马植入他人的电脑中
现在我们要把木马服务端投到别人的电脑中。种植木马的方法有很多,例如Email夹带,把服务端作为附件寄给对方;建一个网站,伪装成XXXX软件的破解版,引诱他人下载服务端文件;通过系统漏洞入侵他人电脑,把木马服务端传过去;把服务端伪装后放到自己的共享文件夹,欺骗网友用P2P软件下载并运行之。下面我们以Email夹带为例,介绍种植木马的方法。
首先启动Outlook等Email软件,撰写一封新邮件,将刚才生成的木马服务端安装文件压缩成一个文件,放到邮件的附件中,编写一个诱人的主题,例如“惊天消息:大兴安岭抓住外星人,请看现场照片……”,对方收到邮件后,如果好奇打开附件、单击该木马安装文件,就会显示绑定的图片,其他什么现象也没有,重新启动系统后,木马服务端就种植成功了。
三、远程控制对方
以上投毒成功后,控制对方的电脑就很容易了,只要使用客户端即可。由于是反弹型木马,所以服务端上线后会自动连接客户端,此时你可以启动灰鸽子,操控客户端对服务端进行远程控制。在软件主界面列表中,随便选择一台已经上线的电脑,然后单击打开选项卡对这台电脑进行分类控制,选项卡有“文件管理器”、远程控制命令、注册表模拟器、远程监控、文件传输管理、命令广播。
文件管理器:在该选项卡中,你可以随意的下载对方机器中的文件,而且还支持断点传输。你可以象操作“Windwos资源管理器”那样,下载、新建、重命名、删除对方电脑中的文件,还可以把对方的文件上传到FTP服务器上保存。
远程控制命令:在这里,你可以查看对方的系统信息、剪切板中内容;查看、终止对方的进程,例如发现有杀毒软件或防火墙,即可终止对应的进程,以便保护服务器端;你可以启动、关闭对方的服务;查看对方共享的信息;关闭或恢复对方的程序窗口;远程运行DOS命令控制对方,卸载、重新加载服务端,远程关机或重启等。
远程监控:这里你可以启动语音监听、或发送,如果对方有麦克风,你就可以听到他们的谈话,而且你还可以向对方发送文字信息。
四、木马服务端的加壳保护
KV2004等杀毒软件(最新的病毒库)很容易发现、查杀以上木马,为了逃避杀毒软件的查杀,你可以使用压缩软件对木马服务端进行加壳保护,目前加壳的软件有很多,例如aspack、ASProtect、UPXShell、Petite等。下面我们就以ASPack(下载地址http://www.fz20.com/down.asp?id=3465&no=2)为例,介绍给木马加壳的方法:
启动ASPack,点击“open(打开)”按钮,选择要加壳的木马服务端程序,ASPack就会自动进行加壳。加壳完成后,杀毒软件就不能查杀该木马了。假如杀毒软件依旧可以查杀,你可以使用其他压缩软件(例如ASProtect)对服务端再次加壳,这样处理之后,杀毒软件一般不可能再查杀原来的木马了。
五、灰鸽子的手工清除
机器里中了灰鸽子之后,如果是WinMe/9x系统,木马会修改注册表自启动项,手工清除方法:首先要禁止它开机自动运行,点开始/运行,输入msconfig点确定,在系统配置实用程序中选“启动项”,然后把svcHOST前面的勾去掉,点确定后退出;接下来在运行中输regedit 进入注册表,查找SVCHOST(注意是大写的),删除找到的SVchost.ini、mapis32a.dll、%systemroot%F4.Jpg,关机重启;最后运行TcpView,检查你的2513端口是否开着。
如果是WinXP/2000系统,木马会启动灰鸽子服务(服务名称默认为Hgz_Server,可以是其他名称),因此删除该木马,首先要关闭这个服务,单击“开始”/设置/控制面板,双击“管理工具”/服务,禁止该服务;然后在该服务“属性”中查出对应的执行文件位置,删除执行文件即可。
反弹型木马防范篇
为了防范越来越猖獗的反弹型木马,我们为你准备了以下的措施,通过对网络自身的设置,以及软件的帮助,你能更好的防护反弹型木马对你的攻击:
一、关闭不用的端口
默认情况下Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑,为了让你的系统铜墙铁壁,应该封闭这些端口,主要有:TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口,一些流行病毒的后门端口(如 TCP 2513、2745、3127、6129 端口),以及远程服务访问端口3389。
137、138、139、445端口都是为共享而开的,是NetBios协议的应用,你应该禁止别人共享你的机器,所以要把这些端口全部关闭,方法是:单击“开始”/控制面板/系统/硬件/设备管理器,单击“查看”菜单下的“显示隐藏的设备”,单击“非即插即用驱动程序”,找到Netbios over Tcpip禁用该设备,重新启动后即可。
关闭UDP123端口:单击“开始”/设置/控制面板,双击“管理工具”/服务,停止windows time服务即可,关闭UDP 123端口,可以防范某些蠕虫病毒。
关闭UDP1900端口:在控制面板中双击“管理工具”/服务,停止SSDP Discovery Service 服务即可。关闭这个端口,可以防范DDoS攻击。
其他端口你可以用网络防火墙关闭之,或者在控制面板中,双击“管理工具”/本地安全策略,选中“IP 安全策略,在本地计算机”,创建 IP 安全策略来关闭这些端口。
二、安装杀毒软件
及时安装升级杀毒软件(例如KV2004等)及其病毒库,并及时给系统打上的安全补丁。上网时要特别注意,木马无处不在!不要随意下载来历不明的文件,只下载使用官方的升级程序;不要接收陌生人的邮件,如果有附件,也不要打开附件,更不要执行附件中的可执行程序,注意病毒程序伪装的图标,不要轻信图标为“电子表格、文本文件、文件夹”的附件。
三、使用反木马软件
使用专门的反木马软件,及时升级软件和病毒库,这是查杀木马最简单的方法。目前反木马软件数量众多,著名的有金山毒霸木马专杀、诺顿安全特警、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。
1、金山毒霸木马专杀
下载地址
金山木马专杀既是一个木马专杀工具(可以查杀2万多种木马),又是一个木马防火墙,可以有效地保护你的QQ号码、网游以及网络支付安全,快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。
2、诺顿安全特警
下载地址
诺顿安全特警(NIS2004)是塞门铁克公司推出了优秀的网络安全软件,能够查杀木马病毒、进行入侵检测,具备个人防火墙等功能;软件新增加的反垃圾邮件功能非常实用,多网络环境支持、Web助手等新功能也很贴心。在网络木马和病毒越来越多的今天,有必要请一个“特警”回来护驾,不过,它体积大、资源占用过多。
3、木马克星(Iparmor)
下载地址
木马克星是国人开发的一款防杀木马的软件,擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大(安装文件只有3.7MB),可以用闪存随身携带,方便你在网吧电脑中安装使用。
4、Anti-Trojan Shield
下载地址
Anti-Trojan Shield是一款享誉欧洲的专业木马侦测、拦截及清除软件,目前可以查杀9468种木马和病毒,其特点是界面简捷,虽是英文但只要你会用杀毒软件,就能很容易操作该软件。
5、TrojanHunter(木马猎手)
下载地址
TrojanHunter是一款非常不错的防木马软件,可以在Win9X/NT/2000/XP系统中运行,能够发现流行的木马。
6、The Cleaner Professional
下载地址
The Cleaner Professional 是MooSoft公司开发的查杀木马软件,可以查杀各种木马、蠕虫、键盘记录机、间谍程序等。软件包括Cleaner、TCActive、TCMonitor等组件,其中Cleaner专门查杀木马等病毒,TCActive用来显示当前正在运行的所有进程,TCMonitor负责后台监视系统文件和注册表是否被修改,如果发现被修改即报警。
7、木马清除大师正式版
下载地址
木马清除大师(BeatTrojan)能查杀5800余种国际国内流行木马、网络游戏盗号工具、QQ盗密码工具、幽灵后门,查杀率在95%以上,正式版还加强了对第五代木马的查杀,更加人性化的进程管理设计,能完美的查杀各种无进程木马。
四、使用第三方防火墙
Win XP自带的放火墙和ADSL猫的NAT方式,只能防止从外到内的连接,不能阻挡从内到外的连接,因此这类防火墙不能阻挡反弹型木马。
防范反弹型木马,最好的办法是安装使用第三方防火墙。因为一般的防火墙,都可以设置应用程序访问网络的权限,你可以把怀疑为木马的程序,设置成不允许访问网络,这样就能阻挡木马从内到外的连接。建议你安装使用天网防火墙、诺顿防火墙等一些著名的防火墙软件,这类防火墙各大网站都有下载。
五、在线安全检测
按照上面的方法查杀木马后,如果你还不放心,可以在网上找个在线安全测试的网站,对你的系统当前安全情况进行检查,不过在线检测前,请关闭你的防火墙。目前这类测试各网站都是免费的,建议你去下面知名的网站测试:
1、诺顿在线安全检测
诺顿是网络安全的鼻祖,它的风险评估是非常及时和全面的。该网站提供了活动的木马程序扫描,利用木马常用的方法尝试与你的电脑进行Internet 通信;它还可以扫描你的网络漏洞、NetBIOS可用性,确定黑客是否能访问你机器中的信息。扫描完成后,会显示详细的分析结果。
2、金山木马专杀
著名的杀毒厂商金山公司提供的在线木马专杀服务,目前该服务完全免费。
3、天网安全在线
可进行木马检测、端口扫描、信息泄漏检查、系统安全性检查。检测时会出现倒计时,在倒数时间内,如果你的电脑出现蓝屏死机,则表示你的电脑不安全,你可以下载该网站提供的个人电脑网络安全软件,来修补目前的安全漏洞。
4、千禧在线--在线检测
免费检查你的电脑有那些端口开放或关闭,是否有木马;与“北京趋势科技”合作,提供了在线按需扫描病毒服务。
5、蓝盾安全在线
蓝盾安全实验室研制、开发的在线安全检测系统,可以检查你的系统中是否有漏洞,可扫描你的端口,检查你的电脑中是否有木马和信息泄漏。
六、经常用Tcpview观察连接情况
为了防范未知的反弹型木马,你可以经常用Tcpview检查连接情况,这样就能随时发现哪个连接有可能是非法连接。
例如上图中本机的TCP 135端口正在监听,众所周知,135端口是RPC服务打开的端口,如果你把RPC服务停掉,虽然可以关闭135端口,但是计算机也就关机了。冲击波病毒利用的就是135端口,建议你使用第三方防火墙,设置外界不能连接本机的135端口。
注意:如果tcp协议的linsten在1025端口以上,则可能是木马,大家就要警惕了。例如上图灰鸽子打开了本机的TCP 2513端口进行监听,这是主动连接方式(非反弹连接),你可以断定这是非法连接。此时你应该右击该连接,选择连接属性,记录下执行文件的名称和位置,然后选择“End Process”结束连接,最后再删除对应的执行.