computer 版 (精华区)

发信人: neverbw (汇编汇编我爱你！), 信区: network
标  题: 全面了解木马“聪明基因”
发信站: 听涛站 (2001年10月10日19:17:15 星期三), 站内信件

一、聪明基因简介及工作原理
　　聪明基因是国产木马，它是今年出现的新木马，默认连接端口7511。聪明基因下载
解压后有4个文件，分别是：说明文档、全球IP地址分配对应表、genueserver.exe和ge
nueclient.exe。genueserver.exe和genueclient.exe分别是木马的服务端和客户端，其
余两个文件顾名思义了。我们感兴趣的是genueserver.exe和genueclient.exe，它们是
我们研究的重点。
　　聪明基因的服务端文件genueserver.exe，大小257,963字节，客户端文件genuecli
ent.exe，大小389,979字节。服务端文件genueserver.exe用的是HTM文件图标，如果你
的系统设置为不显示文件扩展名，那么你就会以为这是个HTM文件，很容易上当。如果不
小心运行了，它会装模作样的启动IE，让你进一步以为这是一个HTM文件，并且还在运行
之后生成GENUESERVER.htm文件，还是用来迷惑你的！怎么样，是不是无所不用其极？聪
明基因就是如此，骗你没商量！
　　聪明基因的服务端运行后会生成三个文件，分别是：C:\WINDOWS\MBBManager.exe、
C:\WINDOWS\Explore32.exe，以及C:\WINDOWS\system\editor.exe。这三个文件的大小
都为257,963字节，用的都是HTM文件图标。
　　MBBManager.exe用来在启动时加载运行，editor.exe用来和TXT文件关联，如果你发
现并删除了MBBManager.exe，你以为你清除了聪明基因？不！一旦你打开文本文件，ed
itor.exe就被激活！它将再次生成守护进程MBBManager.exe！Explore32.exe则默默的躲
在C:\WINDOWS\system下伺机而动，一旦你以为这是系统文件不小心运行了她，那你就等
着挨“宰”吧！
　　聪明基因是典型的文件关联木马。用来在每次开机就运行的MBBManager.exe隐藏在
注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下；
它会建立串值“MainBroad BackManager”，其键值为C:\WINDOWS\MBBManager.exe，这
样就使得MBBManager.exe每次在开机时就被加载运行；用来关联TXT文件打开方式的edi
tor.exe躲在注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_LOCAL_MA
CHINE\Software\CLASSES\txtfile\shell\open\command下，它将系统默认键值由C:\WI
NDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1，由此使得TXT文件打开
方式由记事本程序notepad.exe变为木马程序editor.exe！这样一来使得聪明基因很难被
清除干净——我们哪一天不得打开几次文本文件？每次打开文本文件其实就是在运行ed
itor.exe，被控端就是这样被套牢的！
　　注意：我们以上所谈到的，都是按照服务端未被配置的默认情况来说的，聪明基因
允许控制端用户自由定制安装后的木马文件名和所使用的端口，因此如果中了聪明基因
，那么你看到的文件名完全可能与此不同，木马连接端口也可能不是默认的7511，关联
的文件也可以是EXE、ZIP、JPG、HTM等文件。本文是按其默认服务端配置来讲的(以下所
说皆如此)。
二、聪明基因的危害
　　聪明基因客户端共有七大类功能：文件类、系统类、控制类、监视类、设置类、搜
索类、综合类。这七大类功能对我们一般用户是一种巨大的威胁——它们几乎全部都是
用来控制服务端的。
1.文件相关类：
　　可以对被控端电脑批量上传、下载文件，删除文件，修改文件属性，执行文件，压
缩解压缩文件，查找相应目录及子目录下符合条件的文件，新建文件夹，删除目录树，
复制文件夹等功能。
2、系统相关类：
　　可以查看目标机的主机信息，操作系统信息和本系统服务器信息。
3、控制相关类：
　　可以锁定目标机鼠标、键盘，隐藏桌面、任务栏、所有驱动器，禁止热键和注册表
编辑器、关机，启动屏保，更换墙纸，关闭显示器，远程重启与关机。
4、监视相关类：
　　缩小监视目标计算机屏幕，并可用鼠标或键盘直接操作目标计算机，读取目标计算
机所用过的密码以及密码环境，读取CMOS开机口令(针对Award的，有95%以上的成功率)
，查看、终止目标计算机正在执行的程序（进程），查看、最小化、最大化、隐藏、显
示、关闭目标计算机上任何窗口，查看、删除目标计算机上的注册表启动项所有键名。

5、设置相关类：
　　设置下载文件的默认路径，手工加入、删除目标计算机，下次监听端口，本系统注
册表启动键名，与那类文件相关联启动，上线自动Email通知，更改目标计算机网络名、
系统日期时间，创建、删除共享。
6、搜索相关类：
　　用来查找目标机，设置好探索条件（端口、子网基址、起始地址、终止地址、搜索
速度），即可搜索目标主机是否可用。
7、综合相关类：
　　在这一项中，有以下一些功能：升级远程计算机上服务端文件，重启服务器，停止
服务，彻底御载服务器（这一点还不错）。
　　由于大多第二代木马都有这些功能，因此就不多加以介绍了。应该引起我们充分注
意的是，聪明基因也有终止服务端进程功能，那么它会终止哪个进程呢？先看看木马最
恨谁呢？当然是防火墙了，如天网、金山毒霸等。所以，这个终止服务端进程功能完全
是针对防火墙软件的，看来防火墙软件已经成为了木马们的首要“解决”目标（也是，
不“干掉”防火墙木马又怎能为所欲为呢）！除此以外，聪明基因最可怕之处是其永久
隐藏远程主机驱动器的功能，如果控制端用户执行了这个功能，那么受控端可就惨了，
想找回驱动器可没那么容易！
三、检测方法
　　要检查系统中是否有聪明基因服务端存在，可以采用以下一些方法：
1.检查文件
　　如果怀疑自己中了木马聪明基因，可以到c:\windows下检查MBBManager.exe和Expl
ore32.exe是否存在，再到c:\windows\system检查是否存在editor.exe这个文件。如果
这些文件存在，那就说明你“中标”了！即便是服务端被改名也可发现聪明基因，因为
这三个文件的长度都是257,963字节，如果你发现有可疑文件长度正好是257,963字节，
则基本可以断定就是聪明基因。另外这三个文件用的都是HTM文件图标，因此在“我的电
脑”中点击“查看”→“文件夹选项”→“查看”，把“隐藏已知类型文件的扩展名”
前面的“√”去掉，就能发现它们都有一个扩展名“exe”，有正常的“exe”文件用的
是HTM文件的图标吗？不用说肯定是木马啦！
2.检查注册表
　　展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，检查所有以“
run”开头的键值，看其下是否有MBBManager.exe隐藏在其中。
　　这一步也可通过运行系统配置程序msconfig.exe来检查，点击“开始”→“运行”
，在对话框中输入msconfig，回车，点击“确定”，就调出系统配置程序了，再点击“
启动”标签，检查MBBManager.exe是否在其中被加载运行，如果“有”，那就表示你“
喜”中聪明基因。
3.检查端口
　　由于聪明基因默认连接端口是7511，因此我们可以通过检查该端口是否开启来判断
自己是否中了木马。具体方法是：关闭所有的软件，包括防火墙、QQ等(这一步非常重要
，否则不容易做出正确判断)。然后在MS－DOS窗口中运行命令“Netstat －a”，如果发
现除了137、138、139等端口外，还有7511端口开启，那就说明你中了木马聪明基因！
　　当然如果给你下“马”的人对服务端进行了配置，改变了木马的连接端口，那么检
查7511端口就没有实质意义了。但我们可通过这个方法发现还有哪些端口开启了，如果
开启的端口在1024以上，那就要小心了，你很可能中了木马！
4.检查进程
　　要检查自己是否中了聪明基因，还可以通过查看进程的方式来发现它。查看进程的
软件有很多，“飞鹰超级进程管理器”就是这样一个工具，它可以用来详细浏览和控制
当前内存中的所有正在运行软件(进程)及它们调用的库文件。运行飞鹰超级进程管理器
，点击其中的“开始跟踪内存进程”按钮，则可以看到本机所有调用的进程名称，
　　如果你中了聪明基因，那么在其主界面中可以清楚的看到MBBManager.exe这个进程
！
四、清除方法
　　有手工清除、软件清除、自动卸装三种方法供你选择。
方法一：手工清除
　　1.删除文件
　　删除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再删除C:\WINDOWS\system
下的editor.exe文件。如果服务端已经运行，那么就得用进程管理软件终止MBBManager
.exe这个进程，然后在Windows下将它删除，也可到纯DOS下删除MBBManager.exe。edit
or.exe在Windows下可直接删除。
　　2. 删除自启动文件
　　展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run下，删除串值“MainBroad BackManager”，其键值为C:\WINDOWS\MBBManager.exe
，它每次在开机时就被加载运行，因此删之别手软！
　　3.恢复TXT文件关联
　　聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值
由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1，因此要恢复成
原值。同理，到注册表的
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，将默认键值
由C:\WINDOWS\system\editor.exe %1改回到C:\WINDOWS\NOTEPAD.EXE %1，这样就将TX
T文件关联恢复过来了。
方法二：软件清除
　　这里推荐用木马克星，木马克星是木马查杀软件，对付国产木马最在行了。如果已
经中了聪明基因，运行木马克星，它会提示发现了聪明基因。
　　并将C:\Windows下的MBBManager.exe改名为MBBManager.exe_iparmor，同时将MBBM
anager.exe这个进程关闭，重新启动机子，查看注册表就会发现TXT文件关联功能恢复正
常了！到此可以说将聪明基因基本上清除了。但Explore32.exe仍然在C:\Windows下，e
ditor.exe也依旧在C:\Windows\System下未被清除，改名后的MBBManager.exe_iparmor
也是危险分子，为了安全起见（你敢保证永远不点击它们吗？万一哪天你忘了可怎么办
？），将它们都删除吧。从这里我们也能看出木马克星在清除木马时不够彻底，还需手
工删除相配合，希望作者能够加以注意！
方法三：自动卸载
　　下载并运行聪明基因客户端控制程序genueclient.exe，点击主界面下端的“综合类
”标签，再点击“自动卸载”，这样可以将注册表相关项目全部恢复正常，服务端生成
的三个文件也会安全清除干净。
　　好了，现在你了解聪明基因了吧？


--
   
       欢迎访问   ftp://neverbw.dhs.org
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]