当然这些都是以前的木马运行方式,木马程序发展到现在已经达到驱动级别的了,甚至无进程无端口无服务无连接的程度。我们来看一下新一代木马的样式:这个木马无进程无端口无服务,给查杀带来很大的困难,并且在netstat –an下看不到网络连接状态。它由一个服务端生成器和一个主程序构成:
这是它的生成器,反弹地址其实就是一个域名,黑客们通常用一个免费域名指向本机ip,中了木马的机器会定时向黑客设定的反弹地址发包请求连接,黑客将反弹地址(即域名)指向本机后,中木马的机器就会连接到主程序上,我们看下主程序的界面:
单击管理,我们就可以打开看到里面的功能,足够强大了。
我们可以看到,上面的功能可以像使用自己的服务器一样打开各盘窗口,并且可以查看用户密码用户共享,用户计算机的进程、服务、桌面、摄像头、dos命令等,就好像使用自己的计算机一样。这对于用户的计算机来说是一个很大的威胁,并且这款木马发展到了无进程无端口无服务的地步,你的机器中了木马就好你没有中木马一样,但你的信息却被黑客们不知不觉地盗走。我分析了一下这木马,该软件巧妙的利用了HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs键值来实现DLL注入和自启动,同时WINGUIS.DLL也负责了 APIHOOK隐藏的职责,从而实现了Ring3环境下的文件隐藏、端口隐藏(对于Netstat进程)、DLL模块隐藏、注册表隐藏。它在安全模式下照常工作,只要调用user32.dll的进程都会加载AppInit_DLLs键值中的 DLL文件。这样就可以实现比较好的思路逻辑层面的防删除,实现死打烂缠的效果。 该木马运用的R3 API HOOK,所以安全模式下也照常在应用态下隐藏。在删除它的时候需要先用冰刃卸载它的模块,再删除system32下的winguis.dll。
下面我们再看几款比较现代点的木马,早已超过了冰河时代:
这是pcshare是国内一款驱动级的木马,独创HTTP双连接实现全双工通信,通信方式为反向连接,独创屏幕数据线传输技术,多功能多进程管理,不同客户互相之间不影响,保证软件功能稳定.功能实现为插件方式,自带客户端控制EXE压缩技术,实现客户端文件尺寸为15K左右.实现客户端功能分段下载技术。实现了文件管理、屏幕监控、键盘记录、视频监控等功能。
灰鸽子木马主要以它的功能强大而著称,但大多数杀毒软件都要查杀,此软件主要用delphi控件堆积而成,所以生成的服务端比较大,之所以很多人用,是因为它有一个开代理的功能。为什么开代理的功能这么受黑客青睐,那么黑客是怎么用木马控制我们的?黑客是怎么进入我们的电脑的?
前面我们讲了黑客对服务器的入侵,为什么黑客喜欢入侵服务器?是因为服务器上放着大量网站,他们主要通过在网站的主页上挂网页木马,让访问挂了网页木马的用户机器上种上黑客配置好的木马服务端。当用户中了木马后,黑客就可以像使用自己的电脑一样控制用户的机器。
安全中国首页 > 文章中心 > 工具应用