|
黑洞2001是国产木马程序,它是黑洞2000的升级版本。在这个版本中作者加入了一些新的功能和特性,最最可怕之处就是它的进程监控功能。实际上,在黑洞2000中就已经有了这个功能,但黑洞2000只能监控“天网”一个进程,黑洞2001却能同时对多进程进行监控!下面让我们一起来了解一下黑洞2001。 |
| 黑洞2001下载解压后只有一个文件s_client.exe,它是监控端执行程序,用于监控远程计算机,大小807,424字节。有经验的朋友可能要问了,怎么只有一个监控端文件?它的服务端呢?哈哈,问得好!黑洞2001的服务端隐藏在客户端程序中,只要你运行s_client.exe(如图1),点其中的“生成服务端文件”即可生成一个服务端文件,生成的服务端文件名为S_Server.exe,大小397,632字节。服务端的图标是普通文件夹所用的图标,如果你下载了这个服务端,并且你的系统设置为“隐藏已知文件类型的扩展名”,这时服务端看起来就是一个普通的文件夹(如图2),当你好奇的点击,打算进入看看有什么文件在其中时,潘多拉的盒子打开了!噩梦由此开始! |
|
|
|
图1
|
|
|
|
图2
|
|
黑洞2001服务端被执行后,会在c:\windows\system下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心了,这是个可执行文件,可不是文件夹哦;另一个文件是windows.exe,大小为255,488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件用来机器开机时立刻运行,并打开默认连接端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马被暂时删除;当你运行了任何文本文件,隐蔽的S_Server.exe木马文件就又被激活了,于是它再次生成windows.exe文件,即木马又被种入!这也就是这种文件关联木马难以清除的一个原因。要说明的是,黑洞2001允许控制端用户自由定制安装后的木马文件名和所使用的端口,因此如果中了黑洞2001,那么你看到的文件名完全可能与此不同,木马连接端口也可能不是2001,关联的文件也可以是EXE、ZIP等文件。本文是按其默认服务端配置来讲的(以下所说皆如此)。 |
|
修改文件关联是国产木马常用手段,黑洞2001也不例外(令人惊讶的是老外的木马大都没有这个功能,从这个角度来说还是我们中国人更聪明、更……呵呵)。我们来看看黑洞2001躲在注册表的什么对方。 |
|
用来每次开机就运行的windows.exe隐藏在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下; |
|
用来关联TXT文件的S_Server.exe躲在HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下,它将系统默认值由C:\WINDOWS\NOTEPAD.EXE %1改为了S_SERVER.EXE %1,请大家注意,就是在这里黑洞2001改变了TXT文件打开方式,因此就算你删除了windows.exe这个文件,但当你打开TXT文件时,那个可怕的“幽灵”又回来了——它再次生成windows.exe,演绎了一场经典的“人鬼情未了”大戏。在注册表的HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下,黑洞2001还建立了一个主键Winvxd,记载了一些经过加密的server配置信息,如Password、Runkey、Runkeyname、Smpt、Email等信息,这些信息不起控制作用,可以不用管它。 |
|
作为木马,黑洞2001除了具有获取系统信息、远程文件操作、屏幕监控、限制系统功能、记录各种口令信息、注册表操作、点对点通讯和IP报信等功能外,它最具特色的(也是最可怕之处)是其多进程监控功能。离开了这一点黑洞2001只能算作一个很普通的木马,但有了多进程监控功能就使得黑洞2001得以进入优秀木马行列。 |
|
多进程监控功能是干什么用的呢?原来随着大家安全意识的不断提高,大多数人都安装了防火墙(你没安装?I服了You),木马们的生存空间越来越小,为生存计,木马开发者想出了一个办法,他让木马服务端定时刷新进程,如果发现其中的进程名称与其事先定义好的相符合,就将这个进程关闭,如果这个被关闭的进程恰巧就是防火墙,那你的网络大门就完全敞开了,监控端就可为所欲为了。事实上这个功能就是针对防火墙出现的,“一切堡垒都是从内部被攻破的”在此得到了充分的体现。其实这个功能在黑洞2000中就有了,只不过黑洞2000只能关闭天网防火墙,对其它防火墙没有任何作用。黑洞2001则可以欲定义长达99个英文字符号,完全可以将您可能会用到的防火墙都定义到其中,从而可将这些防火墙全部关闭! |
| 对于黑洞2001的多进程监控功能,让我们作一个小测试。首先,在客户端作一下配置。点击“修改远程服务器端设置”按钮,再点击其中的“智能监控”标签,出现如图所示画面(如图3)。在“进程监控”栏中添入“墙,毒,LOCK”,选中“使用进程监控”,然后点击“修改配置”保存设置。在服务端运行天网防火墙、金山毒霸、Lockdown、PC-Cillin等软件,一分钟后这些软件被自动关闭!由上可以看出如果你中了黑洞2001,那么你的防火墙就全成了聋子的耳朵——摆设! |
|
|
|
图3
|
|
由此我们不难看出黑洞2001有多么的可怕!其强大的杀进程功能可以说是各类防火墙的最大克星!如果你不小心中了黑洞2001,那么你就惨了!你的电脑如同一台傀儡机,对方可以在你的电脑上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……你的一切秘密都将暴露在别人面前,隐私?不复存在!更可怕的是即使你安装了防火墙也没有用,控制端可以随意终止被控端的某个进程,如果这个进程是天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。更令人担心的是黑洞2001也有冰河那样的万能密码——babycjtiloveyou,通过它即便是不知道连接密码,也可以自由的控制服务端电脑,也就是说,互联网上所有人都可以通过客户端程序来控制服务端电脑! |
|
要检查系统中是否有黑洞2001服务端存在,可以采用以下一些方法: |
|
如果怀疑自己中了木马黑洞2001,可以到c:\windows\system下检查是否存在S_Server.exe和windows.exe这两个文件,即便是木马服务端被配置过使这两个文件被改名,也没有关系,因为它们的大小是固定的,分别为397,632字节和255,488字节。 |
|
作者为保护服务端文件不被发现,使S_Server.exe和windows.exe分别用的是文件夹和未定义文件图标,其实,这样做反倒给了我们发现它们的机会!因为一旦你发现所谓的文件夹和未定义文件其实还有一个扩展名“exe”,你就会明白怎么回事了!用下面的方法就可以使它们现出“原形”:在“我的电脑”中点击“查看”→“文件夹选项”→“查看”,把“隐藏已知类型文件的扩展名”前面的“√”去掉,瞧瞧,漏出马脚了吧?所谓的文件夹“S_Server”和未定义文件“windows”都有一个扩展名“exe”,真是欲盖弥彰! |
|
展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,检查所有以“run”开头的键值,看其下是否有windows.exe隐藏在其中。这一步也可通过运行系统配置程序msconfig.exe来检查,点击“开始”→“运行”,在对话框中输入msconfig,回车,点击“确定”,就调出系统配置程序了,再点击“启动”标签,检查windows.exe是否在其中被加载运行,如果“是”那就表示是你中了黑洞2001了,快想办法清除它吧。 |
|
黑客要进入你的电脑,必须要有通往你电脑的途径,也就是说,木马必须打开某个端口。木马端口即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端程序或木马程序。既然如此我们检查端口就有可能发现木马。黑洞2001默认连接端口是2001,因此如果发现这个端口被打开,那你很有可能就是中了可怕的黑洞2001。 |
|
我们可以通过检查自己电脑的端口来查木马。在检查前关闭你所有的软件,包括防火墙、QQ等,这一步非常重要,否则不容易做出判断。然后使用windows自带的一个命令Netstat来检查。方法是:在MS-DOS窗口中执行命令“Netstat -a”,如果发现除了137、138、139等端口外,还有其他端口开启,并且端口号大于1024以上,请注意了这很可能就是木马!你可以在浏览器的地址栏中输入 http://*.*.*.*:xxxx/(在检查时要把*.*.*.*换成你的IP,XXXX是你看到已开启的端口),如果你发现在浏览器里显示了一些字符,那是什么?好象是一种木马的版本嘛。哇,看来真的中了木马!用这个方法不仅可以查黑洞2001,对其它木马也有效哦。 |
|
想通过按“Crtl+Alt+Del”来发现黑洞2001的守护进程是不可能的。木马会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的办法。只要把Form的Visible属性设为False,ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己(这里用到了一个未公开的API调用RegisterServiceProcess()函数,此函数将进程注册为一个服务程序,这样程序将不会显示在任务列表中)。 |
| 为此,要发现黑洞2001最好的方法就是检查进程!查看进程的软件有很多,大家熟悉的系统优化软件Windows优化大师就有进程监测功能。运行它,点击其中的“系统安全优化”→“进程管理”,则可以看到本机上所有进程名称,如果你中了黑洞2001,那么在Windows优化大师的“进程管理”中,可以清楚的看到windows.exe这个进程(如图4)! |
|
|
|
图4
|
|
①将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由 |
|
S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1 |
|
②将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由 S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1 |
|
③将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\下的串值windows删除。 |
|
④将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。 |
|
其实只要做完前三步就算成功的清除了注册表中的黑洞2001,但完美的做法是将Winvxd也删除,这样做不仅可以减少注册表体积,同时也有利于“环保”。 |
|
到C:\Windows\System下,删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用前面提到的windows优化大师终止windows.exe这个进程,然后再将它删除。 |
|
这里推荐用木马克星,木马克星是木马查杀软件,对付国产木马最在行了。如果已经中了黑洞2001,运行木马克星,它会提示发现了黑洞2001。并将C:\Windows\System下的windows.exe改名为windows.exe_iparmor,同时将windows.exe这个进程关闭,重新启动机子,就将黑洞2001清除了,TXT文件关联功能也恢复了正常。但改名后的windows.exe_iparmor和S_Server.exe仍然在C:\Windows\System下,为了安全起见,将它们都删除吧。由于木马克星没能将Winvxd主键删除,因此我们还要自己动手将其删除,采用方法一中的步骤④即可。 |
|
下载并运行黑洞2001客户端控制程序 S_Client.EXE,执行“命令控制台”中的“控制类命令”→“系统控制”→“远程卸载”,卸载后的注册表相关项目全部恢复正常,S_Server.exe和windows.exe也被安全清除。不过如果那个下套的人曾经使用了“感染EXE”这个功能,就要先用“清除EXE”来清除,否则服务端所有被感染的EXE文件一运行,服务端又会重新出现。用自动卸载来清除最省事、最方便,可以对相关文件和注册表信息做最安全、妥当的处理,连那个讨厌的Winvxd主键也可自动清除。 |
|
现在,可以和黑洞2001说ByeBye了。告诉我,看了上面的介绍,你对木马的恐惧感和神秘感是否有所减少?是的!哈哈,吾愿足矣! |
|
基本概念:木马,其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。就我们前面所讲木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。 |
|
木马端口:即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端程序或木马程序。 |
| |
|
|专家库|厂商黄页|供求招标| 责编电话:010-68130909-1053
