computer 版 (精华区)
发信人: neverbw (一切随缘), 信区: network
标 题: 2001年回顾:特洛依木马(1)
发信站: 听涛站 (2001年12月20日23:02:20 星期四), 站内信件
概述
与2001年大出风头的病毒相比,往日春风得意的特洛依木马今年则显得有些平静,
“端口还是那个端口,木马还是那个木马”,今年第四代木马没看到啥动静,还是老一
辈在猖狂。
第一代在Unix系统上表现的是假Login诱骗、假su诱骗,在Windows上则是BO,Nets
py等老字辈的木马,没有什么特别之处,甚至可以说是简陋。
第二代木马,在隐藏、自启动和操纵服务器等技术上有了不小的进步,国外有代表
性的有BO2000和Sub7,而国内几乎都是冰河的天下,当然还有什么广外女生、GOP、聪明
基因和WAY之类有炒剩饭之嫌的木马。
第三代木马在隐藏、自启动和数据传递技术上则有了根本性的进步,出现了靠ICMP
协议传递数据,从而使防火墙几乎失效的木马。
第四代木马在进程隐藏方面,则做了更大的改动——采用改写和替换系统文件的做
法(Windows木马的此种技术肯定是从Unix中学到的),使木马几乎和操作系统结合在一
起,从而极好地达到了隐藏的目的。(技术构想虽然不错,但没见到几个Windows下的木
马成品出现,失望!)
2001年流行木马及其技术特征
我们略去Unix木马这一部分,仅仅只和大家探讨Windows木马。
Windows操作系统由于微软积极发布新操作系统,出现了Win95(97)、Win98、Win
ME、WinNt、Win2000和WinXP共存的现象,由于Winsock.dll的版本不同,针对不同操作
系统的木马也纷纷出现,就目前国内来说,使用Winsocket 1.1版本的木马已比较少了,
多是针对Win98和Win2000以上的2.x版本。
查看了来自官方的最新《中国计算机病毒流行列表》的病毒报告,我们可以发现,
目前国内流行的木马主要有以下4种——冰河2.x、BO2000、Sub7和YAI,犹以冰河为甚。
加载方式的变化
虽然目前网络上已有冰河的新版本5.5特别版,但流传最广的还是2.x。我常常可以
发现防火墙报警——告知7627号端口被试图连接,查看其IP,发现来自上海、北京和广
东等地的恶意扫描占多数。(我也曾经给一台服务器种过冰河,不过后来可能动作太大
,被管理员发现并清理掉了!痛定思痛,我现在改用自己写的木马开后门,这样防火墙
和杀毒软件就只有装聋作哑了!)
冰河的易用性使大家都选择了它,它的一些细节方面很不错,有些技术甚至比洋木
马还出色一些。如5.5版就在隐藏和加载上下了很大的工夫,它首先向%SYSTEM%目录下
增加4个文件:lfp.dll、lfp.exe、tel.lfp和system32.dll,大小全部为259K,很容易
看出它们都是原Server程序的复制品,然后改写注册表,键值如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
C:\WINDOWS\SYSTEM\system32.dll
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices]
C:\WINDOWS\SYSTEM\system32.dll
这是木马的主加载项,它把自己文件格式改成动态链接库(Dll),从而加载。如果
你只知道木马有Exe形式,而不知还有Dll形式,这样就无法清除木马。另外,它还会再
写入一个假的启动项,起迷惑的作用,不过我觉得好像有点弄巧成拙。
[HKEY_CLASSES_ROOT\dllfile\shell\Open\Command]
@=“\"%1\" %*”
[HKEY_CLASSES_ROOT\.lfp]
@=“lfpfile”
[HKEY_CLASSES_ROOT\lfpfile]
@=“http://lffffp.yeah.net”
[HKEY_CLASSES_ROOT\lfpfile\DefaultIcon]
@=“C:\\WINDOWS\\SYSTEM\\shell32.dll,-154”
[HKEY_CLASSES_ROOT\lfpfile\shell\Open\Command]
@=“\“%1\” %*”
这是冰河值得称道的技术之一,它将DLL文件和LFP文件的打开方式转化为直接执行
,然后自己定义一个新的文件类型lfp,并赋予图标。这样Windows每次一启动,就会先
去执行System32.dll。而tel.lfp(即木马)会于其它无关联的文件建立关联(如Vxd、
Dat、Bin等),你偶尔双击这类文件,木马就会获得新生。有的版本的冰河还会将得到
的消息流先传给木马,再传递给目标Dll,接着执行正常的Dll加载,这样就完成了一次
奇特的“双启动”。如果你不知道还有如此古怪的加载方法,你怎么会怀疑到lft文件上
去?如此一来,冰河就会像瘟疫一样死死地缠住你,让你永世不得翻身。(好像说得太
过于了吧?!我Format不就OK了……啊?!)
--
当爱情不再完美
我宁愿选择无悔
不管来生多么美丽
我无法失去今生对你的记忆!
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:1.062毫秒