当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 这个马儿太厉害!浅析灰鸽子的防范与清除

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 这个马儿太厉害!浅析灰鸽子的防范与清除


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 86 ::
收藏到网摘: n/a

  偶尔得到了一款灰鸽子2.02 VIP版,试用了半天竟然控制了20多台肉鸡,看着这些肉鸡任由宰割,笔者异常兴奋,不仅由衷地感叹道——这个马儿太厉害!

一、厉害之处

  ⒈马儿健壮

  主流的杀毒软件竟然无法查杀灰鸽子。笔者使用的是国内某知名杀毒软件的最新版,不论是灰鸽子的服务端程序还是客户端程序,这个杀毒软件均不报警。用灰鸽子的屏幕捕获功能发现,被控制的20多台肉鸡绝大多数都运行着杀毒软件,这些杀毒软件基本上囊括了国内以及国际上主流的杀毒软件。笔者给一个被控制的肉鸡发了一个文本消息,吓得他用杀毒软件和包括木马克星在内的各种杀马软件扫描电脑,然而遗憾的是,直到现在笔者还用灰鸽子控制着他。

  ⒉端口反弹,天网防火墙形同虚设

  笔者的电脑上安装了最新版本的天网防火墙,在玩灰鸽子的过程中,一不小心,笔者在自己的电脑上运行了灰鸽子的服务端程序,然而,天网防火墙却没有任何报警。

  天网防火墙对本地应用程序访问网络的请求管理的不是太严格,而且对已信任的程序访问网络的连接不做任何报警。灰鸽子是一款反弹端口的木马,和传统的木马不一样的是它不监听一个端口等待客户端来连接自己,而是自己以IE浏览器的身份主动去连接客户端,而IE浏览器是天网防火墙默认的已信任程序,所以灰鸽子能够轻易“穿透”天网防火墙。因为灰鸽子是以IE浏览器的身份去访问网络的,而任何防火墙都不会限制IE浏览器浏览网页,所以从理论上来讲,灰鸽子能“穿透”任何防火墙,这一点,鄙人通过已控制的20多台肉鸡得到了证实。

  端口反弹木马的工作原理:在传输层,和传统的木马恰恰相反,被控端(服务端)执行客户端的命令,但它不监听一个端口,而是主动去连接客户端;客户端给服务端下达命令,但它不主动去连接服务端,而是开一个端口监听服务端的连接。

  ⒊反向连接,被控制电脑“自动上线”

  灰鸽子是反向连接的木马,也就是说,被控制电脑会主动连接控制端电脑。冰河、BO 2000这些传统的木马要连接被控端电脑必须告知客户端被控电脑的IP地址和端口等信息,而灰鸽子则不同,灰鸽子的客户端启动后,被控制电脑会争先连接到客户端,灰鸽子使用了语音提示的功能,当一台被控制的电脑连接到客户端后,一个标准的女中音会提示:有主机上线,请注意!听着这一声声提示,看着被控制的电脑自动地纷纷出现在“自动上线的主机”列表中(如图1),笔者在想:马儿实在是太可怕了!

图1 灰鸽子服务器端

  ⒋客户端程序,能够自定义服务端。

  灰鸽子的服务端安装程序由客户端根据自定义设置自动生成。能够自定义的项目包括:服务端安装成功后是否删除安装程序;是否在任务管理器中隐藏进程;是否在注册表中加入启动键项。

  另外,在Windows 2000/XP的系统中还可以选择安装成自动启动的服务,服务名称(包括服务的显示名称)可以修改,安装程序的图标也可以选择(自定义服务端是灰鸽子比较重要的特点,在下文中,对它自定义的项目还会提及)。

图2 诱惑下掩藏着危险

  如图2所示,这是笔者自定义的灰鸽子服务端的安装程序,从表面上看,它就是一本“e书时空”的电子书,但实际上,只要双击了它,您即可在笔者的“自动上线”里而被控制。笔者把这一电子书共享在一个P2P软件中,不到一个下午的功夫,“自动上线”的主机竟然达到了25台之多。

  ⒌集大成者,良好的隐藏性使其他后门相形见绌。

  比起前辈冰河、黑洞等,从功能上来说,灰鸽子可以说是国内木马的集大成者,大部分木马使用的控制功能它都具备:

  1)模枋Windows资源管理器,可以对被控制电脑上的文件进行复制、粘贴、删除、重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用;

  2)可以查看被控制电脑的系统信息、剪切板上的信息等;可以远程操作被控制电脑的进程、服务;可以远程禁用被控制电脑的共享和创建新的共享,还可以把被控制电脑设置为一台代理服务器;

  3)不但可以连继的捕获远程电脑屏幕,还能把本地的鼠标及键盘操作传送到被控制电脑,实现远程实时控制功能;

  4)可以监控被控电脑上的摄像头,还有语音监听和发送功能,可以和被控电脑进行语音对话。

  5)灰鸽子还能模拟注册表编辑器,操作远程注册表就像操作本地注册表一样方便;

  6)命令广播,如关机、重启或打开网页等,这样单击一个按钮就可以让多台机器同时关机、重启或打开网页等。

  灰鸽子除了以上的功能外,它的隐藏性和自我保护也是其它木马不可比拟的。它的文件是隐藏的,进程也是隐藏的,您在任务管理器中也找不到它的踪迹。

  朋友们,经过