国产木马“网络神偷”介绍
最近本人在网上闲逛,偶然发现了一个新木马“网络神偷”(图1),每天都会有新木马出现也都没什么新意,和以前的木马都是大同小意。但本人分析了“网络神偷”后,发现它并不是这样的,它用了独特的“反弹端口”原理,所以可以穿过防火墙,甚至还能入侵局域网内部的电脑,是世界上第一个也是唯一一个用了此原理的木马程序,可以说是一种新型木马。
图1:网络神偷的启动画面
由于它的独特原理,对网络安全的危害也要比普通木马大得多,彻底改变了网上正邪力量的平衡,而网上介绍它的文章还很少,还不为广大网友所知,所以本人写此文试图揭开它的神密面纱,让大家更了解它。
关于“网络神偷”的更多资料可到它的网站查询:http://greenstuff.363.net/
只有了解了它的工作原理,我们才能说是真正了解它,首先让我们看一看它独特的“反弹端口”原理是如何工作的。
1.概论
此类软件被统称为远程控制类软件(或黑客软件、木马软件),它们均为 C/S 结构(Client/Server,客户机/服务器)。软件分为客户端与服务端两部分,客户端即为控制端(由控制者使用),服务端为被控制端(由被控制者使用),依据服务端运行时是否会显示明显的运行标志(即对方是否知道它运行有服务端),可分为正邪两派,邪派就是传说中的黑客软件、特洛伊木马程序,是各大杀毒软件的首要目标,网络神偷当然是邪派的。
2.其它同类软件原理
服务端运行后,会在本机打开一个网络端口监听客户端的连接(时刻等待着客户端的连接),连接建立后,客户端可用这个通道向服务端发送命令并接收返回数据,即可实现远程入侵。
3.“网络神偷”软件原理
图2:入侵被防火墙拦截
如果对方装有防火墙,客户端发往服务端的连接首先会被服务端主机上的防火墙拦截,使服务端程序不能收到连接,软件不能正常工作(图2)。同样,局域网内通过代理上网的电脑,因为是多台共用代理服务器的IP地址,而本机没有独立的互联网的IP地址(只有局域网的IP地址),所以也不能正常使用。就是说传统型的同类软件不能入侵装有防火墙和在局域网内部的服务端主机。
图3:防火墙拦截不住“反弹端口”型木马网络神偷
但往往是道高一尺、魔高一丈,不知哪位高人分析了防火墙的特性后发现:防火墙对于连入的连接往往会进行非常严格的过滤,但是对于连出的连接却疏于防范。于是,与一般的软件相反,反弹端口型软件的服务端(被控制端)主动连接客户端(控制端)(图3),为了隐蔽起见,客户端的监听端口一般开在80(提供HTTP服务的端口),这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED 的情况,稍微疏忽一点你就会以为是自己在浏览网页(防火墙也会这么认为的)。看到这里,有人会问:既然不能直接与服务端通信,那如何告诉服务端何时开始连接自己呢?答案是:通过主页空间上的文件实现的,当客户端想与服务端建立连接时,它首先登录到FTP服务器,写主页空间上面的一个文件,并打开端口监听,等待服务端的连接,服务端定期用HTTP协议读取这个文件的内容,当发现是客户端让自己开始连接时,就主动连接,如此就可完成连接工作。
网络神偷用的就是这种“反弹端口”原理,可以穿过防火墙,甚至还能入侵局域网内部的电脑。据本人所知,在同类软件中,网络神偷是唯一使用这种方法的!
4.网络神偷的服务端上线通知原理
互联网如此之大,覆盖全球,我们如何标识并找到上面的任何一台电脑呢?答案是:IP地址,每台连网电脑都会被分配一个IP地址,这个IP地址是全球唯一的,就象你家的门牌号码,别人可以根据这个找到你。同样,IP地址分配是有规律的,可以根据IP地址分配表查出相应的地理位置(网络神偷内置IP地址分配表)。
现在大多数互联网用户是拨号上网的,拨号上网的IP地址是由ISP(互联网接入服务提供商,例如163、169)动态分配的。两台电脑想要连接就必须要知道对方的IP地址,就象想去你家串门就必须知道你的住址。因此,服务端如何把自己的IP地址告诉客户端就成了一个大问题,也就是服务端上线通知。
现在最常用的方法是Email通知,例如:冰河、Netspy、聪明基因、广外女生、网络公牛、Protoss、Way(无 赖 小 子)等木马用的都是这种方法,即服务端上网后,发送自己的IP地址到事先指定的邮箱,客户端使用者只要去收信就行了。这种方面虽然最常用,但有很大不足,首先Email的实时性得不到保证,时慢时快,这与发信服务器的线路质量有很大关系。其次,现在越来越多的发信服务器设了“发信认证”功能,发信也要邮箱的密码(原来只有收信才要),这就给服务端发信增加了困难,服务端不带密码无法发送,带密码则有可能被别人破出来。
图4:网络神偷先进的“服务端上线通知功能”
网络神偷用的是另一种更先进的方法:UDP通知,客户端上网后,会将自己的IP地址写到主页空间的指定文件里,服务端定期读取这个文件的内容,就可得到客户端的IP地址,并将自己的一些其它信息(主机名、IP地址、上线时间等等)用UDP协议发送给客户端。客户端接收后,将数据解释并显示在“服务端在线列表”里,服务端情况一目了然(图4)。可能有人会担心:主页空间上的文件谁都可以访问(就象浏览网页),自己的IP地址会不会让别人看到?这个问题作者当然已经想到,所有可能被别人看到的数据(包括主页空间上的)都已经加密了,就算别人拿到了也没用。而且数据加密密码是由用户自行设置的,就连软件作者也无法破解。
因为网络神偷用了独特的原理,所以它能做到普通木马做不到的一些事情,危害远比普通木马大得多,让我们来看看它能做到哪些其它木马做不到的事情。
1.防火墙安全终结者
对于很多个人电脑用户来说,装一个单机个人防火墙就万事大吉了,无论是什么木马,都可以把它拦住。但网络神偷的出现改变了这个历史,如第二部分所说,它是由内向外连接的,防火墙根本拦不住,在网络神偷进行入侵时防火墙不会有任何反应。这可比某些木马一上来就关闭防火墙要隐蔽的多了,后者无异于“不打自招”。
图12:你一定想不到MMTASK.EXE就是网络神偷服务端程序
虽然某些防火墙有“应用程序访问网络监测”功能,如果本机有程序要访问网络它就会报警,但这个程序可能是合法程序(例如IE),只有当用户设置“以后都允许”,它才不会再次询问。对于有这种功能的防火墙,当服务端试图连接时就会被发现(图12),但网络神偷的服务端是可以自定义程序名的,如果设置成与系统文件相近的名称,很容易让人误以为是合法程序而放过去,让人防不胜防。
2.局域网安全终结者
我们都知道局域网内的电脑是不怕木马的,但网络神偷的出现彻底改变了这一历史,它可以轻松入侵局域网内部的电脑。而局域网内部的用户一直以来认为自己是不怕木马的,经常胡乱运行一些不明程序,这就给自己的安全带来了很大隐患。而使用局域网的地方又很多,例如:网吧、公司企业、政府部门等等,它们的内部网从此不再安全。
网络神偷是针对远程文件访问的,没有其它木马的那些远程控制功能(例如:远程截屏、密码记录等),但它的文件访问功能非常强大,它可以对服务端的磁盘文件进行任何操作,访问对方的文件就象自己的一样方便。这就使它成为了一个“专业的数据窃取”工具,特别适合窃取局域网内部的机密数据,例如:商业秘密、政府文件等等。
图11:黑客窃取出来的金山公司的内部数据(部分)
事实上,这种情况已经发生,具可靠“线报”,号称“中国最大的软件公司”的金山公司就曾被黑客用网络神偷成功入侵过。它们的局域网中有多台电脑都被黑客入侵,黑客窃取出了很多公司里的内部文件(图11)。而它们“引以为荣”的金山毒霸却毫无反应。可见网络神偷对公司企业的内部网有很大的威胁。
一、准备工作:
在第二部分中已经说明,使用者必须为本软件提供一个支持FTP方式登录的主页空间才能使用。现在网上有很多提供免费个人主页空间的网站(在搜狐、新浪等搜索引擎中,查询“免费主页”、“主页空间”等关键字就可以找到一大堆),大多也都支持FTP方式登录维护,申请一个就可以了,具体申请方法请参见相应网站的说明。
下面是作者经过测试,已知可以使用的主页空间。还有很多我们不知道的,也请大家去试试看,如果能用请告诉我们,我好转告大家。
网站名称: 虎翼网
网址: http://www.51.net
开通方式: 申请后24小时Email通知开通
FTP服务器域名: 用户名.51.net
你的网址: http://用户名.51.net/
网站名称: 网易
网址: http://mcgi.163.com
开通方式: 即申请即开通
FTP服务器域名: ftp1.go.163.com
你的网址: http://go.163.com/用户名
以上设置均为本版软件发布时的,以后可能会有所变化,更加准确的信息请查询相应的网站。
二、使用说明:
1.开始设置:
图5:网络神偷设置向导
软件使用前,必须要进行设置,就是告诉软件你所用的主页空间的一些情况。第一次运行软件时会自动弹出“网络神偷
设置向导”(图5),根据向导的提示一步步进行就可以成功的完成设置,大部分设置内容都可以从主页空间提供商的网站查到,如果该项设置提供了默认值,不修改也可以。
2.生成并运行服务端:
图6:生成服务端程序
如第二部分中讲的,本软件分为客户端与服务端,软件在下载安装后是没有服务端的(只有客户端 Nethief.exe),服务端要在客户端设置完成后,由用户在客户端里面生成(通过:菜单“网络”->“生成服务端”或工具栏按钮)(图6)。生成时,可以自定义一些设置,服务端默认的文件名为
Nethief_Server.exe,可以在生成时或生成后任意改名。
对方只有运行了服务端,才能在客户端里的“服务端在线列表”看到它,可以将服务端直接拷到对方的电脑上运行,也可以用Email发给它,还可以用EXE捆绑软件将服务端与其它软件捆绑后发给对方(我们的主页上就有EXE捆绑机)。服务端运行后不会显示任何界面,看上去好象没有反应,其实它已经将自己复制到系统里面了,并且会在每次开机时自动运行,此时可以将拷过去的服务端删除。
如果系统中原来就有服务端,新服务端会自动判断与旧服务端是否相同(包括设置内容),相同就算了,不同则先清除旧服务端,再把自己复制到系统里面。
3.连接服务端:
图7:“添加主机”按钮
图8:未连接服务端
图9:服务端连接成功
当服务端出现在“服务端在线列表”时,由于“服务端上线通知”采用的是无连接的UDP协议,所以此时并没有与服务端建立连接(TCP连接)。想访问服务端,就必须先和它建立连接,应该这么做:先选中“服务端在线列表”中的服务端,按“添加主机”按钮(图7),就会把它添加到文件管理器中,切换到文件管理器界面(图8),双击此服务端节点(或单击左边的“+”号)就会开始等待服务端的连接,如果一切正常,即可连接成功(图9)。如果等进度条走完,还没有收到服务端的连接,可能是对方已经下线,或是由于其它各种未知原因不能连接。
4.文件操作:
图10:文件工具栏。从左至右分别是:新建文件、新建文件夹、向上一级、刷新、查找、剪切、复制、粘贴、高级运行、删除、查看、属性。
因为本软件是针对远程文件访问的,所以在这方面功能异常强大,我敢说没有一个同类软件可以与之匹敌。本软件在设计上高度模枋 Windows
资源管理器,但有一点不同,它不支持右键菜单,大部分操作可以通过工具栏、主菜单或快捷键完成(图10)。
可对本地及远程驱动器进行:
1)展开文件夹:单击欲展开文件夹左边的“+”号,或双击文件夹节点。
2)显示文件列表:单击欲显示文件夹。
3)新建文件:选中欲建立新文件的目录,单击工具栏上的“新建文件”。
4)新建文件夹:选中欲建立新文件夹的目录,单击工具栏上的“新建文件夹”。
5)查找文件:选中欲查找文件的目录,单击工具栏上的“查找”。(支持通配符)
6)剪切:选中要剪切的文件,单击工具栏上的“剪切”。(支持多选及文件夹操作)
7)复制:选中要复制的文件,单击工具栏上的“复制”。(支持多选及文件夹操作)
8)粘贴:选中要粘贴到的文件夹,单击工具栏上的“粘贴”。(通过以上三个命令
可实现:本地文件操作、上传、下载、同远程主机的文件复制与移动)
9)本地运行:双击欲运行的文件,如为远程文件,则先下载到本地再运行。
10)远程运行:选中欲运行的文件,单击工具栏上的“高级运行”。
11)重命名:在已选中的文件或文件夹上再单击一下,输入新名称后按回车。
12)删除:选中要删除的文件,单击工具栏上的“删除”。(支持多选及文件夹操作)
13)查看:选中要查看的文件,单击工具栏上的“查看”,如为远程文件,则先下载
到本地再查看。(可通过菜单“网络”->“选项”更改查看程序)
14)查看并修改驱动器属性:选中要查看的驱动器,单击工具栏上的“属性”,修改
后,单击“确定”。
15)查看并修改单文件属性:选中要查看的文件,单击工具栏上的“属性”,修改
后,单击“确定”。
16)查看多文件及文件夹属性:选中要查看的文件及文件夹,单击工具栏上的“属
性”。(支持多选及文件夹操作)
17)停止工作:单击工具栏上的“停止工作”。
更加详细的使用说明,请看网络神偷里的Readme.txt。
网络神偷的作者知道一但对方发现自己中了木马,会千方百计把木马删除,木马就算做的再难删除也没用,大不了对方可以重装系统。所以网络神偷没有象其它木马那样又捆绑又备份的,它只是简单的把木马加到了注册表启动项里,并把自己复制到系统目录里,是很容易清除的。
自动卸载:
从网上下载一个网络神偷(http://greenstuff.363.net),设置好“设置向导”,生成服务端程序,自己运行服务端,就会把原来别人的服务端冲掉,然后上网再用客户端与自己的服务端连接上,再用菜单“网络”->“远程卸载”,就可以彻底清除自己的服务端了。
手工卸载:
先删除注册表启动项(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)中的键值(键名是在生成服务端时由用户设置的),重启后,再删除系统目录(C:\Windows\System)中的服务端程序(文件名也是由用户设置的)。