论坛: 病毒专区 标题: 与特洛伊木马过招(一)作者:奇奇  复制本贴地址    
作者: CyberSpy [cyberspy]    论坛用户   登录
  鉴于很多朋友对病毒和木马还有很多误解,特在近期“转点”(个人由于时间问题没有写)基础知识给大家吧!~~希望大家支持我当病毒版的斑竹~~  ^_^  ^_^谢谢

  什么叫做“特洛依木马”?它来自于希腊神话,这里指的是一种黑客程序,它一般有两个程序,一个是服务器程序,一个是控制器程序。如果你的电脑安装了服务器程序,那么,黑客就可以使用控制器进入你的电脑,通过命令服务器程序达到控制你的电脑的目的。   
    个人上网电脑威胁最大的就是病毒和特洛依木马,不要以 
为你的电脑没有什么秘密的资料,你就不怕木马了,首先,中了木马的电脑什么安全性也没有了,拨号上网的密码,信箱密码,主页密码,甚至网络信用卡密码也会被偷走,其次,黑客要是有病毒库,就可以通过木马传染到你的电脑上来,你平时再谨慎也没有用了。你的鼠标被人家控制,键盘被锁上了,屏幕被人家看见了,电脑还算是你的吗?   

    所以,你应当留神自己的电脑有没有木马, 我在网络上看过很多关于安全的文章,涉及木马的比较少,另外有些文章对木马有错误的认识,比如《网络报大众版》(总第65期1999年12月20日)的“安全/攻击”栏目中文章《注册表的妙用》有句话:“不管是什么样的后门工具,也许在它运行后就会消失,但有它逃不过的地方,那就是你的WIN.INI、启动组和注册表!”,如果经常玩木马的人,就该知道,非自动方式启动的木马可以被捆绑到任何程序中,比如将木马捆绑到OICQ程序上,在注册表等启动组中均找不到痕迹,而你一旦启动OICQ,就会启动木马。在我们的电脑中,可执行程序(EXE、COM程序)有上千个是不希奇的,都可以成为捆绑的对象。   

    因为木马对个人电脑是个重大的威胁,所以也促使我写一篇比较详细的文章,奇奇在这里列出了网络上大部分木马,我将告诉你如何删除这些木马。   
   

   

一、特洛伊木马的基本知识   

    我写这些东西是为了治病救人的,不是让别有用心的人去害人的。所以这里只对木马做描述,不提供下载木马软件。   

    “知己知彼,百战百胜”,如果想要学好防御,必须要知道特洛伊木马是如何攻击的。如果你想攻击别人的话,你只需要知道其中的一个木马攻击办法就可以了,如果是防御攻击的话,你不得不知道得更多。所以,奇奇会讲得比较仔细,希望大家不要误会我在教人如何做坏事。   

    如果你对木马真的感兴趣的话,当然会有地方学习的,请到我的主页上去看看(http://cn77.my169.com),我会指点你去一个地方下载的。 特洛伊有两个部分,一个是服务器,一个是控制器。如果你的电脑上安装了服务器,那么黑客就可以使用控制器进入你的电脑。   

    新安装的电脑是没有木马存在的,一般黑客要想你安装上木马的办法是写信给你,告诉你有一个很好的软件,你运行以后没有什么反应,这时候,木马已经安装到你的电脑中了。   

    一般的程序需要我们点击该程序才会启动,那么木马是怎样启动的呢?   
    木马为了能在每次电脑开机的时候进入内存发挥作用,主要手法是加载到注册表的启动组中,也有些会捆绑到其他程序中附带进入内存,这些被捆绑程序有电脑启动的时候WINDOWS自动运行的,也有用户自己需要而运行的。   

    木马是怎样和黑客联系的呢?怎样把你的资料送给黑客的呢?   
    大部分情况下是黑客和你的电脑中的木马联系,当木马在你的电脑中存在的时候,黑客就可以通过控制器命令木马做事情了。这些命令是在网络上传递的,需要遵守TCP/IP协议。TCP/IP协议规定电脑的端口有256*256=65536个,从0到65535号端口,木马打开一个或者几个端口,黑客所使用的控制器就是进入木马的端口进入你的电脑的。   

    这些端口好象“后门”一样,所以,也有人把特洛伊木马叫做后门工具。   

    每个木马所打开的端口不同,根据端口号,可以识别不同的木马,比如NETSPY木马的端口是7306,SUB7的端口是1243,但是,有些木马的端口号是可以改变的,比如SUB7,黑客通过控制器可以将端口号改变成12345等号码。   

    现在我们该知道三点了:一,木马需要一种启动方式,一般在注册表启动组中,二,木马需要在内存中才能发挥作用,三,木马会打开特别的端口,以便黑客通过这个端口和木马联系。我们基于这三点可以删除木马,防御黑客的攻击。   

    下面就我们来看看网络上流行的木马。   
  二、部分特洛伊木马的特征   
(更新日期:2000年2月21日)   
  木马名称 端口 启动方式 木马位置  
BirdSPY2 可变47878   
不清楚50829 注册表加载   
用户误操作 C:\WINDOWS\SYSTEM\WinApp32.exe   
C:\WINDOWS\Winbime.scr   
C:\WINDOWS\Ndapi32c.dll   
C:\WINDOWS\SYSTEM\WinSock.exe   
C:\WINDOWS\Winbife.scr   
C:\WINDOWS\Ndapi32K.dll   
C:\WINDOWS\ .bat   
C:\WINDOWS\winstart.bat  
bo 1.20 可变31337 注册表加载 C:\WINDOWS\SYSTEM\ .exe  
Deep Throat 1.0 固定2140 3150 注册表加载 不能确定  
Deep Throat 3.0 可变2140 3150 6671 注册表加载 c:\windows\systray.exe  
ftp 固定21 无 不能确定  
FTP Serv-U 2.3b 固定1492 注册表加载 c:\windows\system\Windll16.exe  
GirlFriend 1.3 可变20000 注册表加载 C:\WINDOWS\Windll.exe  
Glacier 1.2 固定7626 注册表加载 C:\WINDOWS\SYSTEM\Kernel32.exe   
C:\WINDOWS\SYSTEM\Sysexplr.exe  
Glacier 2.0 可变7626 注册表加载 C:\WINDOWS\SYSTEM\Kernel32.exe   
C:\WINDOWS\SYSTEM\Sysexplr.exe  
Glacier 2.1 可变7626 注册表加载 C:\WINDOWS\SYSTEM\Kernel32.exe   
C:\WINDOWS\SYSTEM\Sysexplr.exe  
InCommand 1.0 可变9400 9401 9402 注册表加载 不能确定  
Kuang2v 固定17300 系统文件启动 c:\windows\trdq.exe  
Millenium 1.0 固定20000 20001 注册表 win.ini C:\windows\system\reg66.exe  
NetBus 1.53 固定12345   
    12346 无 不能确定  
NetBus 1.60 固定12345   
    12346 注册表加载 C:\WINDOWS\MRING.EXE  
NetBus 1.70 固定12345   
    12346 注册表加载 C:\WINDOWS\PATCH.EXE  
Netspy 1.0 固定7306 注册表加载 c:\windows\system\netspy.exe  
Netspy 2.0 可变7306 注册表加载 c:\windows\system\netspy.exe   
C:\WINDOWS\SYSTEM\NETSPY.dat  
Open Share 固定139 注册表加载 无文件形式木马  
phAse 1.0 固定555   
可变555 无   
注册表加载 不能确定   
C:\WINDOWS\System\msgsvr32.exe(可变)  
prosiak 0.47 固定22222 33333 注册表加载 C:\WINDOWS\SYSTEM\Windll32.exe  
ProcSpy 固定7307 无 不能确定  
Remote-Anything 4000 3996 注册表加载 C:\WINDOWS\SLAVE.EXE  
schoolbus 固定3210 4321 注册表加载 C:\WINDOWS\SYSTEM\Grcframe.exe  
schoolbus 1.60 固定54321 43210 捆绑文件 c:\windows\system\grcframe.exe(木马)   
c:\windows\system\runonce.exe(启动文件)  
schoolbus 2.0 可变54321 44767 捆绑文件 c:\windows\system\grcframe.exe(木马)   
c:\windows\system\runonce.exe(启动文件)  
SubSeven 1.0 固定6713 1243 注册表加载 C:\WINDOWS\SysTrayIcon.Exe  
SubSeven 1.1 可变1243 注册表加载 C:\WINDOWS\SysTrayIcon.Exe  
SubSeven 1.3 可变6711 6776 1243 win.ini加载 c:\windows\nodll.exe   
c:\windows\~win.bak   
c:\windows\window.exe  
SubSeven 1.4 可变1243 win.ini加载    
SubSeven 1.5 可变6711 6776 1243 win.ini加载 c:\windows\nodll.exe   
c:\windows\winduh.dat   
c:\windows\window.exe  
SubSeven 1.6 可变6711 6776 1243 注册表加载 c:\windows\system\rundll16.com   
c:\windows\system\systray.exe  
SubSeven 1.7 可变6711 6776 1243 注册表加载 c:\windows\KERNEL16.DL  
SubSeven 1.8 可变6711 6776 1243 system.ini加载 c:\windows\kerne132.dl  
Subseven 1.9 可变6711 6776 1243 system.ini加载 c:\windows\mtmtask.dl  
SubSeven 1.9 ver2 可变6711 6776 1243 system.ini加载 c:\windows\mtmtask.dl  
Sub7 1.9 中文控制器        
SubSeven 2.0 可变1243 6776 system.ini加载 c:\windows\kerne1.exe  
SubSeven 2.1 可变27374 无 c:\windows\MSREXE.exe  
WinCrash 1.03 固定5742 注册表加载 c:\windows\system\server.exe  
X SPY 1.0 固定7308 无 不能确定  
YAI 07.29 1999 可变1024 不能确定 c:\windows\system\Odbc16m.exe  

地主 发表时间: 11/05 22:41
回复: 112 [mnbvcxz123]   论坛用户   登录
我每天这样弄看这里死不死

B1层 发表时间: 06/30 16:08

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号