‹‹ 上一主题 | 下一主题 ››
发新话题
打印

关于“广外女生”木马的问题

fortysnake

新手上路

Rank: 1

UID
4285 
帖子
10 
精华
0 
积分
30 
经验值
25 点 
威望
5  
贡献
0  
巧巧币
8 元 
阅读权限
10 
1# 发表于 2007-9-8 10:30  只看该作者

关于“广外女生”木马的问题

  “广外女生”这个出现好久了,虽然它所采用的技术并不高明,甚至就作为一个木马而言,它的功能也太弱;然而顶着“专门针对金山毒霸和天网防火墙,使之不能运行”这样的帽子,竟然也闯出了不大不小的名头。

  下面我们先来看看“她”所宣称的功能:

  广外女生是广东外语外贸大学“广外女生”网络小组的处女作,作为一个远程控制软件它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。

  它的基本功能有:文件管理方面有上传,下载,删除,改名,设置属性,建立文件夹和运行指定文件等功能;注册表操作方面:全面模拟WINDOWS的注册表编辑器,让远程注册表编辑工作有如在本机上操作一样方便;屏幕控制方面:可以自定义图片的质量来减少传输的时间,在局域网或高网速的地方还可以全屏操作对方的鼠标(包括单击,双击,右键,拖动等);其他功能还有远程任务管理、邮件IP通知、邮件服务等。

  广外女生与其他同类软件相比,其主要特点是:

  服务端程序体积小,大家熟悉的“冰河”是260多KB,而广外女生只有96KB!! 服务端占用系统资源少,最多时只占用3M的内存,不会影响服务端计算机的速度。

  隐蔽性好,不容易被发现。 能利用WINDOWS的漏洞使中国国内流行的“天网防火墙”和“金山毒霸”失去作用。(不信试试看:))

  注册表编辑及任务管理界面直观,易于操作。

  仔细看看就可以看出来,实际上“她”所具有的功能和国产的优秀木马“冰河”相比实际上只多了以下两样:

  1.远程注册表操作;

  2.可以关闭一些网络安全防护软件。

  不过就凭这些,再加上“她”那令人羡慕的96K“玲珑身材”,似乎是一个后门软件不错的选择。然而实际上,“她”作为一个木马,首先是扫描速度太慢了;然后控制的连接时序掌握不好,所以数据传输即便是在宽带的时候也会迟滞;至于“她”的屏幕控制,无论是画面质量还是控制的敏感度都无法与“冰河”相比。可能还算有用的功能就是关闭他人的计算机了,我想这个倒还是挺好玩的^_^。

TOP

fortysnake

新手上路

Rank: 1

UID
4285 
帖子
10 
精华
0 
积分
30 
经验值
25 点 
威望
5  
贡献
0  
巧巧币
8 元 
阅读权限
10 
2# 发表于 2007-9-8 10:30  只看该作者
  下面要讨论一个比较敏感的问题:关闭网络安全防护软件。看看“她”的说明书是这样写的:“能利用WINDOWS的漏洞使中国国内流行的‘天网防火墙’和‘金山毒霸’失去作用”。那么那个所谓的“WINDOWS的漏洞”是什么呢?^_^,就是在WINDOWS操作系统中,由于WINDOWS操作系统对在其上运行的进程的严格控制(这一点在WIN 9X系统中表现得还不太明显,但是在WIN NT和WIN 2000中就很明显了。简单的表现是在当按下CTRL ALT DEL键的时候,WIN 9X的系统进程你是无法见到的,而NT或2000中你却可以一览无遗)。当系统本身发出停止进程的指令的时候,那些进程就不得不关闭了。这个道理其实很简单,就是相当于你呼叫出任务管理器,然后用“结束进程”命令结束掉你所选定的进程。利用这种方式,只要愿意,基本上所有的商业软件都逃不过被“杀”的厄运。

  至于“广外女生”木马为什么要这么做呢?^_^谁知道,不过要说的一点就是:此地无银三百两。本来木马的天性即是要潜伏,而“她”的做法刚好相反。如果用户发现进程被不明不白的关闭了,那还不是暴露了机器里藏着木马么?真不明白为什么“她”要这么做;如果真要做好一个木马程序那是绝对不会这样做的,难道是为了“扬名立万”不成?

  其实这个木马如果继续用心写下去,不要只是想着旁门左道,那么还是有机会成为优秀的远程控制程序的。当然这个是安全防护专题,我们就不做这些评论了。

  对于“她”的清除方法,目前应该有不少的文章论述了。以下是我自己检查到的数据,并附上手工清除方法:

  ※每5分钟循环检测一次天网是否打开,若有的话就用进程kill

  ※天网进程被kill后可以重新运行

  ※感染后程序驻留文件为:C:\\WINDOWS\\SYSTEM\\DIAGCFG.EXE

  ※通讯使用TCP协议6267端口

  ※改动的文件和注册表:

  HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command

  HKEY_LOCAL_MACHINE\\Software\\CLASSES\\exefile\\shell\\open\\command

  HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

TOP

fortysnake

新手上路

Rank: 1

UID
4285 
帖子
10 
精华
0 
积分
30 
经验值
25 点 
威望
5  
贡献
0  
巧巧币
8 元 
阅读权限
10 
3# 发表于 2007-9-8 10:30  只看该作者
  ※手工清除方法:

  1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它;

  2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器"Regedit.exe",将它改名为"Regedit.com";

  3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件);

  4、找到HKEY_CLASSES_ROOT\\exefile\\sh*ll \\open\\command,将其默认键值改成"%1" %*";

  5、找到HKEY_LOCAL_MACHINE \\SOFTWARE \\Microsoft \\Windows \\CurrentVersion\\ RunServices,删除其中名称为"Diagnostic Configuration"的键值;

  6、关掉注册表编辑器,回到Windows目录,将"Regedit.com"改回"Regedit.exe"。

  7、完成。

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题