基本介紹
- 中文名:冰河
- 病毒類型:木馬病毒
- 病毒作用:遠程監控
- 伺服器端程式:G-server.exe
- 客戶端程式:G-client.exe
- 連線連線埠:7626
具體功能,清除方法,識別木馬,簡單防治,原理,基礎篇,基本概念,程式實現,控制篇,潛行篇,隱藏自己,管理器中隱形,如何啟動,連線埠,隱身技術,破解篇,連線埠掃描,查看連線,檢查註冊表,查找檔案,殺病毒軟體,狡詐篇,木馬種植伎倆,注意事項,
具體功能
該軟體主要用於遠程監控,具體功能包括:
1.自動跟蹤目標機螢幕變化,同時可以完全模擬鍵盤及滑鼠輸入,即在同步被控端螢幕變化的同時,監控端的一切鍵盤及滑鼠操作將反映在被控端螢幕(區域網路適用);
6.註冊表操作:包括對主鍵的瀏覽、增刪、複製、重命名和對鍵值的讀寫等所有註冊表操作功能;
7.傳送信息:以四種常用圖示向被控端傳送簡簡訊息;
8.點對點通訊:以聊天室形式同被控端進行線上交談。
雖然許多防毒軟體可以查殺它,但國內仍有幾十萬中冰河的電腦存在!作為木馬,冰河創造了最多人使用、最多人中彈的奇蹟!現在網上又出現了許多的冰河變種程式,我們這裡介紹的是其標準版,掌握了如何清除標準版,再來對付變種冰河就很容易了。
冰河的伺服器端程式為G-server.exe,客戶端程式為G-client.exe,默認連線連線埠為7626。一旦運行G-server,那么該程式就會在C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe,並刪除自身。Kernel32.exe在系統啟動時自動載入運行,sysexplr.exe和TXT檔案關聯。即使你刪除了Kernel32.exe,但只要你打開TXT檔案,sysexplr.exe就會被激活,它將再次生成Kernel32.exe,於是冰河又回來了!這就是冰河屢刪不止的原因。
清除方法
1、刪除C:Windows/system 下的Kernel32.exe和Sysexplr.exe檔案。
2、冰河會在註冊表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion
Run下紮根,鍵值為C:/windows/system/Kernel32.exe,刪除它。
3、在註冊表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,還有鍵值為C:/windows/system/Kernel32.exe的,也要刪除。
4、最後,改註冊表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默認值,由中木馬後的C:/windows/system/Sysexplr.exe %1改為正常情況下的C:/windows/notepad.exe %1,即可恢復TXT檔案關聯功能。
識別木馬
先來說一下木馬是如何通過網頁進入你的電腦的,相信大家都知道,現在有很多圖片木馬,EML和EXE木馬,其中的圖片木馬其實很簡單,就是把木馬exe檔案的檔案頭換成bmp檔案的檔案頭,然後欺騙IE瀏覽器自動打開該檔案,然後利用網頁里的一段JAVASCRIPT小程式調用DEBUG把臨時檔案里的bmp檔案還原成木馬exe檔案並拷貝到啟動項里,接下來的事情很簡單,你下次啟動電腦的時候就是你噩夢的開始了,EML木馬更是傳播方便,把木馬檔案偽裝成audio/x-wav聲音檔案,這樣你接收到這封郵件的時候只要瀏覽一下,不需要你點任何連線,windows就會為你代勞自動播放這個他認為是wav的音樂檔案,木馬就這樣輕鬆的進入你的電腦,這種木馬還可以frame到網頁里,只要打開網頁,木馬就會自動運行,另外還有一種方法,就是把木馬exe編譯到.JS檔案里,然後在網頁里調用,同樣也可以無聲無息的入侵你的電腦,這只是些簡單的辦法,還有遠程控制和共享等等漏洞可以鑽,知道這些,相信你已經對網頁木馬已經有了大概了解,
簡單防治
開始-設定-控制面版-添加刪除程式-windows安裝程式-把附屬檔案里的windows scripting host去掉,然後打開Internet Explorer瀏覽器,點工具-Internet選項-安全-自定義級別,把裡面的腳本的3個選項全部禁用,然後把“在中載入程式和檔案”禁用,當然這只是簡單的防治方法,不過可能影響一些網頁的動態java效果,不過為了安全就犧牲一點啦,這樣還可以預防一些惡意的網頁炸彈和病毒,如果條件允許的話可以加裝防火牆,再到微軟的網站打些補丁,反正我所知道的網咖用的都是原始安裝的windows,很不安全喔,還有儘量少在一些小網站下載一些程式,尤其是一些號稱黑客工具的軟體,小心盜不著別人自己先被盜了,當然,如果你執意要用的話,號被盜了也應該付出這個代價吧。還有,不要以為裝了還原精靈就很安全,據我所知,一般網咖的還原精靈都只還原c:盤即系統區,所以只要木馬直接感染你安裝在別的盤裡的遊戲執行檔案,你照樣逃不掉的。
原理
基礎篇
無論大家把木馬看得多神秘,也無論木馬能實現多么強大的功能,木馬,其實質只是一個網路客戶/服務程式。那么,就讓我們從網路客戶/服務程式的編寫開始。
基本概念
程式實現
在VB中,可以使用Winsock控制項來編寫網路客戶/服務程式,實現方法如下(其中,G_Server和G_Client均為Winsock控制項):
服務端:
G_Server.LocalPort=7626(冰河的默認連線埠,可以改為別的值)
G_Server.Listen(等待連線)
客戶端:
G_Client.RemoteHost=ServerIP(設遠端地址為伺服器地址)
G_Client.RemotePort=7626 (設遠程連線埠為冰河的默認連線埠,呵呵,知道嗎?這是冰河的生日喔)
(在這裡可以分配一個本地連線埠給G_Client,如果不分配,計算機將會自動分配一個,建議讓計算機自動分配)
G_Client.Connect (調用Winsock控制項的連線方法)
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客戶機端用G_Client.SendData傳送命令,而伺服器在G_Server_DateArrive事件中接受並執行命令(幾乎所有的木馬功能都在這個事件處理程式中實現)
如果客戶下線,則關閉連線並重新監聽連線埠
Private Sub G_Server_Close()
G_Server.Close (關閉連線)
G_Server.Listen (再次監聽)
End Sub
其他的部分可以用命令傳遞來進行,客戶端上傳一個命令,服務端解釋並執行命令......
控制篇
由於Win98開放了所有的許可權給用戶,因此,以用戶許可權運行的木馬程式幾乎可以控制一切,讓我們來看看冰河究竟能做些什麼(看了後,你會認同我的觀點:稱冰河為木馬是不恰當的,冰河實現的功能之多,足以成為一個成功的遠程控制軟體)
因為冰河實現的功能實在太多,我不可能在這裡一一詳細地說明,所以下面僅對冰河的主要功能進行簡單的概述,主要是使用Windows API函式,如果你想知道這些函式的具體定義和參數,請查詢WinAPI手冊。
遠程監控
keybd_event 模擬一個鍵盤動作(這個函式支持螢幕截圖喔)。
mouse_event 模擬一次滑鼠事件(這個函式的參數太複雜,我要全寫在這裡會被編輯罵死的,只能寫一點主要的,其他的自己查WinAPI吧)
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)
dwFlags:
MOUSEEVENTF_ABSOLUTE 指定滑鼠坐標系統中的一個絕對位置。
MOUSEEVENTF_MOVE 移動滑鼠
MOUSEEVENTF_LEFTDOWN 模擬滑鼠左鍵按下
MOUSEEVENTF_LEFTUP 模擬滑鼠左鍵抬起
MOUSEEVENTF_RIGHTDOWN 模擬滑鼠右鍵按下
MOUSEEVENTF_RIGHTUP 模擬滑鼠右鍵按下
MOUSEEVENTF_MIDDLEDOWN 模擬滑鼠中鍵按下
MOUSEEVENTF_MIDDLEUP 模擬滑鼠中鍵按下
dx,dy: MOUSEEVENTF_ABSOLUTE中的滑鼠坐標
記錄各種口令信息
(作者註:出於安全形度考慮,本文不探討這方面的問題,也請不要給我來信詢問)
獲取系統信息
a.取得計算機名 GetComputerName
b.更改計算機名 SetComputerName
c.當前用戶 GetUserName函式
d.系統路徑
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立檔案系統對象)
Set SystemDir = FileSystem0bject.getspecialfolder⑴
(取系統目錄)
Set SystemDir = FileSystem0bject.getspecialfolder(0)
(取Windows安裝目錄)
(友情提醒: FileSystemObject是一個很有用的對象,你可以用它來完成很多有用的檔案操作)
e.取得系統版本 GetVersionEx(還有一個GetVersion,不過在32位windows下可能會有問題,所以建議用GetVersionEx
f.當前顯示解析度
Width = screen.Width \ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY
其實如果不用Windows API我們也能很容易的取到系統的各類信息,那就是Windows的"垃圾站"-註冊表
比如計算機名和計算機標識吧:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的Comment,ComputerName和WorkGroup
註冊公司和用戶名:HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至於如何取得註冊表鍵值請看第6部分。
限制系統功能
a.遠程關機或重啟計算機,使用WinAPI中的如下函式可以實現:
ExitWindowsEx(ByVal uFlags,0)
當uFlags=0 EWX_LOGOFF 中止進程,然後註銷
當uFlags=1 EWX_SHUTDOWN 關掉系統電源
當uFlags=2 EWX_REBOOT 重新引導系統
當uFlags=4 EWX_FORCE 強迫中止沒有回響的進程
b.鎖定滑鼠
ClipCursor(lpRect As RECT)可以將指針限制到指定區域,或者用ShowCursor(FALSE)把滑鼠隱藏起來也可以
註:RECT是一個矩形,定義如下:
Type RECT
Left As Long
Top As Long
Right As Long
Bottom As Long
End Type
c.鎖定系統 這個有太多的辦法了,嘿嘿,想Windows不當機都困難呀,比如,搞個死循環吧,當然,要想系統徹底崩潰還需要一點技巧,比如設備漏洞或者耗盡資源什麼的......
d.讓對方掉線 RasHangUp......
e.終止進程 ExitProcess......
f.關閉視窗 利用FindWindow函式找到視窗並利用SendMessage函式關閉視窗
遠程檔案操作
無論在哪種程式語言里,檔案操作功能都是比較簡單的,在此就不贅述了,你也可以用上面提到的FileSystemObject對象來實現
註冊表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")
就可以使用以下的註冊表功能:
刪除鍵值:RegEdit.RegDelete RegKey
增加鍵值:RegEdit.Write RegKey,RegValue
獲取鍵值:RegEdit.RegRead (Value)
記住,註冊表的鍵值要寫全路徑,否則會出錯的。
傳送信息
很簡單,只是一個彈出式訊息框而已,VB中用MsgBox("")就可以實現,其他程式也不太難的。
點對點通訊
換牆紙
CallSystemParametersInfo(20,0,"BMP路徑名稱",&H1)
值得注意的是,如果使用了ActiveDesktop,換牆紙有可能會失敗,遇到這種問題,請不要找冰河和我,去找Bill吧。
潛行篇
木馬並不是合法的網路服務程式,因此,它必須想盡一切辦法隱藏自己,好在,Windows是一個捉迷藏的大森林!
隱藏自己
在VB中,只要把form的Visible屬性設為False,ShowInTaskBar設為False,程式就不會出現在系統列中了。
管理器中隱形
在任務管理器中隱形,就是按下Ctrl+Alt+Del時看不見那個名字叫做“木馬”的進程,這個有點難度,不過還是難不倒我們,將程式設為“系統服務”可以很輕鬆的偽裝成比爾蓋子的嫡系部隊(Windows,我們和你是一家的,不要告訴別人我藏在哪兒...)。
在VB中如下的代碼可以實現這一功能:
Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long,ByVal ServiceFlags As Long) As Long
Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long
(以上為聲明)
Private Sub Form_Load()
RegisterServiceProcess GetCurrentProcessId,1 (註冊系統服務)
End Sub
Private Sub Form_Unload()
RegisterServiceProcess GetCurrentProcessId,0 (取消系統服務)
End Sub
如何啟動
Windows支持多種在系統啟動時自動載入應用程式的方法(簡直就像是為木馬特別定做的)啟動組、win.ini、system.ini、註冊表等等都是木馬藏身的好地方。冰河採用了多種方法確保你不能擺脫它。首先,冰河會在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERⅥCE鍵值中加上了\kernl32.exe(是系統目錄),其次如果你刪除了這個鍵值,自以為得意地喝著茶的時候,冰河又陰魂不散地出現了...怎么回事?原來冰河的服務端會在c:\windows(這個會隨你windows的安裝目錄變化而變化)下生成一個叫sysexplr.exe檔案(太象超級解霸了,好毒呀,冰河!),這個檔案是與文本檔案相關聯的,只要你打開文本(哪天不打開幾次文本?),sysexplr.exe檔案就會重新生成krnel32.exe,然後你還是被冰河控制著。(冰河就是這樣長期霸占著窮苦勞動人民寶貴的系統資源的,555555)
連線埠
木馬都會很注意自己的連線埠(你呢?你關心你的6萬多個連線埠嗎?),如果你留意的話,你就會發現,木馬連線埠一般都在1000以上,而且呈越來越大的趨勢(netspy是1243....)這是因為,1000以下的連線埠是常用連線埠,占用這些連線埠可能會造成系統不正常,這樣木馬就會很容易暴露;而由於連線埠掃描是需要時間的(一個很快的連線埠掃描器在遠程也需要大約二十分鐘才能掃完所有的連線埠),故而使用諸如54321的連線埠會讓你很難發現它。在文章的末尾我給大家轉貼了一個常見木馬的連線埠表,你就對著這個表去查吧(不過,值得提醒的是,冰河及很多比較新的木馬都提供連線埠修改功能,所以,實際上木馬能以任意連線埠出現)
隱身技術
目前,除了冰河使用的隱身技術外,更新、更隱蔽的方法已經出現,那就是-驅動程式及動態程式庫技術(冰河3.0會採用這種方法嗎?)。
驅動程式及動態程式庫技術和一般的木馬不同,它基本上擺脫了原有的木馬模式-監聽連線埠,而採用替代系統功能的方法(改寫驅動程式或動態程式庫)。這樣做的結果是:系統中沒有增加新的檔案(所以不能用掃描的方法查殺)、不需要打開新的連線埠(所以不能用連線埠監視的方法查殺)、沒有新的進程(所以使用進程查看的方法發現不了它,也不能用kill進程的方法終止它的運行)。在正常運行時木馬幾乎沒有任何的症狀,而一旦木馬的控制端向被控端發出特定的信息後,隱藏的程式就立即開始運作......
事實上,我已經看到過幾個這樣類型的木馬,其中就有通過改寫vxd檔案建立隱藏共享的木馬...(江湖上又將掀起新的波浪)
破解篇
本文主要是探討木馬的基本原理,木馬的破解並非是本文的重點(也不是我的長處),具體的破解請大家期待yagami的《特洛伊木馬看過來》(我都期待一年了,大家和我一起繼續期待吧,嘿嘿),本文只是對通用的木馬防禦、卸載方法做一個小小的總結:
連線埠掃描
連線埠掃描是檢查遠程機器有無木馬的最好辦法,連線埠掃描的原理非常簡單,掃描程式嘗試連線某個連線埠,如果成功,則說明連線埠開放,如果失敗或超過某個特定的時間(逾時),則說明連線埠關閉。(關於連線埠掃描,Oliver有一篇關於“半連線掃描”的文章,很精彩,那種掃描的原理不太一樣,不過不在本文討論的範圍之中)
查看連線
查看連線和連線埠掃描的原理基本相同,不過是在本地機上通過netstat-a(或某個第三方的程式)查看所有的TCP/UDP連線,查看連線要比連線埠掃描快,缺點同樣是無法查出驅動程式/動態連結木馬,而且僅僅能在本地使用。
檢查註冊表
上面在討論木馬的啟動方式時已經提到,木馬可以通過註冊表啟動(好像現在大部分的木馬都是通過註冊表啟動的,至少也把註冊表作為一個自我保護的方式),那么,我們同樣可以通過檢查註冊表來發現"馬蹄印",冰河在註冊表里留下的痕跡請參照《潛行篇》。
查找檔案
查找木馬特定的檔案也是一個常用的方法(這個我知道,冰河的特徵檔案是G_Server.exe吧? 笨蛋!哪會這么簡單,冰河是狡猾狡猾的......)冰河的一個特徵檔案是kernl32.exe(靠,偽裝成Windows的核心呀),另一個更隱蔽,是sysexlpr.exe(什麼什麼,不是超級解霸嗎?)對!冰河之所以給這兩個檔案取這樣的名字就是為了更好的偽裝自己,只要刪除了這兩個檔案,冰河就已經不起作用了。其他的木馬也是一樣(廢話,Server端程式都沒了,還能幹嘛?)
如果你只是刪除了sysexlpr.exe而沒有做掃尾工作的話,可能會遇到一些麻煩-就是你的文本檔案打不開了,因為前面說了,sysexplr.exe是和文本檔案關聯的,你還必須把文本檔案跟notepad關聯上,方法有三種:
a.更改註冊表(我就不說了,有能力自己改的想來也不要我說,否則還是不要亂動的好)
c.按住SHIFT鍵的同時滑鼠右擊任何一個TXT檔案,選擇打開方式,選中<;始終用該程式打開......>;,然後找到notepad,點一下就OK了。(這個最簡單,推薦使用)
殺病毒軟體
之所以把殺病毒軟體放在最後是因為它實在沒有太大的用,包括一些號稱專殺木馬的軟體也同樣是如此,不過對於過時的木馬以及菜鳥安裝的木馬(沒有配置服務端)還是有點用處的,值得一提的是最近新出來的ip armor在這一方面可以稱得上是比較領先的,它採用了監視動態程式庫的技術,可以監視所有調用Winsock的程式,並可以動態殺除進程,是一個個人防禦的好工具(雖然我對傳說中“該軟體可以查殺未來十年木馬”的說法表示懷疑,嘿嘿,兩年後的事都說不清,誰知道十年後木馬會“進化”到什麼程度?甚至十年後的作業系統是什麼樣的我都想像不出來)
另外,對於驅動程式/動態程式庫木馬,有一種方法可以試試,使用Windows的"系統檔案檢查器",通過"開始選單"-"程式"-"附屬檔案"-"系統工具"-"系統信息"-"工具"可以運行"系統檔案檢查器"(這么詳細,不會找不到吧? 什麼,你找不到! 吐血! 找一張98安裝盤補裝一下吧),用“系統檔案檢查器”可檢測作業系統檔案的完整性,如果這些檔案損壞,檢查器可以將其還原,檢查器還可以從安裝盤中解壓縮已壓縮的檔案(如驅動程式)。如果你的驅動程式或動態程式庫在你沒有升級它們的情況下被改動了,就有可能是木馬(或者損壞了),提取改動過的檔案可以保證你的系統安全和穩定。(注意,這個操作需要熟悉系統的操作者完成,由於安裝某些程式可能會自動升級驅動程式或動態程式庫,在這種情況下恢復"損壞的"檔案可能會導致系統崩潰或程式不可用!)
狡詐篇
只要你有一點點的疏忽,就有可能被人安裝了木馬,知道一些給人種植木馬的常見伎倆對於保證自己的安全不無裨益。
木馬種植伎倆
網上“幫”人種植木馬的伎倆主要有以下的幾條
a.軟哄硬騙法
b.組裝合成法
就是所謂的221(Two To One二合一)把一個合法的程式和一個木馬綁定,合法程式的功能不受影響,但當你運行合法程式時,木馬就自動載入了,同時,由於綁定後程式的代碼發生了變化,根據特徵碼掃描的防毒軟體很難查找出來。
c.改名換姓法
