一、聪明基因简介及工作原理
聪明基因是国产木马,它是今年出现的新木马,默认连接端口7511。聪明基因下载解压后有4个文件,分别是:说明文档、全球IP地址分配对应表、genueserver.exe和genueclient.exe。genueserver.exe和genueclient.exe分别是木马的服务端和客户端,其余两个文件顾名思义了。我们感兴趣的是genueserver.exe和genueclient.exe,它们是我们研究的重点。
聪明基因的服务端文件genueserver.exe,大小257,963字节,客户端文件genueclient.exe,大小389,979字节。服务端文件genueserver.exe用的是HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件,很容易上当。如果不小心运行了,它会装模作样的启动IE,让你进一步以为这是一个HTM文件,并且还在运行之后生成GENUESERVER.htm文件,还是用来迷惑你的!怎么样,是不是无所不用其极?聪明基因就是如此,骗你没商量!
聪明基因的服务端运行后会生成三个文件,分别是:C:\WINDOWS\MBBManager.exe、C:\WINDOWS\Explore32.exe,以及C:\WINDOWS\system\editor.exe。这三个文件的大小都为257,963字节,用的都是HTM文件图标。
MBBManager.exe用来在启动时加载运行,editor.exe用来和TXT文件关联,如果你发现并删除了MBBManager.exe,你以为你清除了聪明基因?不!一旦你打开文本文件,editor.exe就被激活!它将再次生成守护进程MBBManager.exe!Explore32.exe则默默的躲在C:\WINDOWS\system下伺机而动,一旦你以为这是系统文件不小心运行了她,那你就等着挨“宰”吧!
聪明基因是典型的文件关联木马。用来在每次开机就运行的MBBManager.exe隐藏在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下;它会建立串值“MainBroad BackManager”,其键值为C:\WINDOWS\MBBManager.exe,这样就使得MBBManager.exe每次在开机时就被加载运行;用来关联TXT文件打开方式的editor.exe躲在注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下,它将系统默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1,由此使得TXT文件打开方式由记事本程序notepad.exe变为木马程序editor.exe!这样一来使得聪明基因很难被清除干净――我们哪一天不得打开几次文本文件?每次打开文本文件其实就是在运行editor.exe,被控端就是这样被套牢的!
注意:我们以上所谈到的,都是按照服务端未被配置的默认情况来说的,聪明基因允许控制端用户自由定制安装后的木马文件名和所使用的端口,因此如果中了聪明基因,那么你看到的文件名完全可能与此不同,木马连接端口也可能不是默认的7511,关联的文件也可以是EXE、ZIP、JPG、HTM等文件。本文是按其默认服务端配置来讲的(以下所说皆如此)。
二、聪明基因的危害
聪明基因客户端共有七大类功能:文件类、系统类、控制类、监视类、设置类、搜索类、综合类。这七大类功能对我们一般用户是一种巨大的威胁――它们几乎全部都是用来控制服务端的。
1.文件相关类:
可以对被控端电脑批量上传、下载文件,删除文件,修改文件属性,执行文件,压缩解压缩文件,查找相应目录及子目录下符合条件的文件,新建文件夹,删除目录树,复制文件夹等功能。
2、系统相关类:
可以查看目标机的主机信息,操作系统信息和本系统服务器信息。
3、控制相关类:
可以锁定目标机鼠标、键盘,隐藏桌面、任务栏、所有驱动器,禁止热键和注册表编辑器、关机,启动屏保,更换墙纸,关闭显示器,远程重启与关机。
4、监视相关类:
缩小监视目标计算机屏幕,并可用鼠标或键盘直接操作目标计算机,读取目标计算机所用过的密码以及密码环境,读取CMOS开机口令(针对Award的,有95%以上的成功率),查看、终止目标计算机正在执行的程序(进程),查看、最小化、最大化、隐藏、显示、关闭目标计算机上任何窗口,查看、删除目标计算机上的注册表启动项所有键名。
5、设置相关类:
设置下载文件的默认路径,手工加入、删除目标计算机,下次监听端口,本系统注册表启动键名,与那类文件相关联启动,上线自动Email通知,更改目标计算机网络名、系统日期时间,创建、删除共享。
6、搜索相关类:
用来查找目标机,设置好探索条件(端口、子网基址、起始地址、终止地址、搜索速度),即可搜索目标主机是否可用。
7、综合相关类:
在这一项中,有以下一些功能:升级远程计算机上服务端文件,重启服务器,停止服务,彻底御载服务器(这一点还不错)。
由于大多第二代木马都有这些功能,因此就不多加以介绍了。应该引起我们充分注意的是,聪明基因也有终止服务端进程功能,那么它会终止哪个进程呢?先看看木马最恨谁呢?当然是防火墙了,如天网、金山毒霸等。所以,这个终止服务端进程功能完全是针对防火墙软件的,看来防火墙软件已经成为了木马们的首要“解决”目标(也是,不“干掉”防火墙木马又怎能为所欲为呢)!除此以外,聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端用户执行了这个功能,那么受控端可就惨了,想找回驱动器可没那么容易!
三、检测方法
要检查系统中是否有聪明基因服务端存在,可以采用以下一些方法:
1.检查文件
如果怀疑自己中了木马聪明基因,可以到c:\windows下检查MBBManager.exe和Explore32.exe是否存在,再到c:\windows\system检查是否存在editor.exe这个文件。如果这些文件存在,那就说明你“中标”了!即便是服务端被改名也可发现聪明基因,因为这三个文件的长度都是257,963字节,如果你发现有可疑文件长度正好是257,963字节,则基本可以断定就是聪明基因。另外这三个文件用的都是HTM文件图标,因此在“我的电脑”中点击“查看”→“文件夹选项”→“查看”,把“隐藏已知类型文件的扩展名”前面的“√”去掉,就能发现它们都有一个扩展名“exe”,有正常的“exe”文件用的是HTM文件的图标吗?不用说肯定是木马啦!
2.检查注册表
展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,检查所有以“run”开头的键值,看其下是否有MBBManager.exe隐藏在其中。
这一步也可通过运行系统配置程序msconfig.exe来检查,点击“开始”→“运行”,在对话框中输入msconfig,回车,点击“确定”,就调出系统配置程序了,再点击“启动”标签,检查MBBManager.exe是否在其中被加载运行,如果“有”,那就表示你“喜”中聪明基因。
3.检查端口
由于聪明基因默认连接端口是7511,因此我们可以通过检查该端口是否开启来判断自己是否中了木马。具体方法是:关闭所有的软件,包括防火墙、QQ等(这一步非常重要,否则不容易做出正确判断)。然后在MS-DOS窗口中运行命令“Netstat -a”,如果发现除了137、138、139等端口外,还有7511端口开启,那就说明你中了木马聪明基因!
当然如果给你下“马”的人对服务端进行了配置,改变了木马的连接端口,那么检查7511端口就没有实质意义了。但我们可通过这个方法发现还有哪些端口开启了,如果开启的端口在1024以上,那就要小心了,你很可能中了木马!
4.检查进程
要检查自己是否中了聪明基因,还可以通过查看进程的方式来发现它。查看进程的软件有很多,“飞鹰超级进程管理器”就是这样一个工具,它可以用来详细浏览和控制当前内存中的所有正在运行软件(进程)及它们调用的库文件。运行飞鹰超级进程管理器,点击其中的“开始跟踪内存进程”按钮,则可以看到本机所有调用的进程名称,
如果你中了聪明基因,那么在其主界面中可以清楚的看到MBBManager.exe这个进程!
四、清除方法
有手工清除、软件清除、自动卸装三种方法供你选择。
方法一:手工清除
1.删除文件
删除C:\WINDOWS下的MBBManager.exe和Explore32.exe,再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软件终止MBBManager.exe这个进程,然后在Windows下将它删除,也可到纯DOS下删除MBBManager.exe。editor.exe在Windows下可直接删除。
2. 删除自启动文件
展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,删除串值“MainBroad BackManager”,其键值为C:\WINDOWS\MBBManager.exe,它每次在开机时就被加载运行,因此删之别手软!
3.恢复TXT文件关联
聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\op
