反向连接木马的传播示例
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。木马病毒的产生严重危害着现代网络的安全运行。
灰鸽子(Hack. Huigezi)当年曾经是一个集多种控制方法于一体的木马,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。更甚的是,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。截至2006年底,“灰鸽子”木马已经出现了6万多个变种。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。灰鸽子的原作者葛军已经停止对其开发。2013年起,灰鸽子相关(TM)商标由潍坊灰鸽子安防工程有限公司注册。意在将灰鸽子开发成为一款合理的正规的远程控制软件。
操作方法
- 01
1.实验环境 实验环境如图5-59所示。
- 02
2.生成木马的服务器端 第1步:下载并安装灰鸽子。 第2步:配置反向连接木马。 运行灰鸽子,主界面如图5-60所示,单击【配置服务程序】,弹出如图5-61所示的对话框,选择【自动上线设置】选项卡,在此需要强调的是,由于是配置反向连接木马,所以一定要在IP栏中输入黑客(客户端)的IP地址“192.168.10.5”,其他配置信息根据界面提示进行设置,如图5-62~图5-64所示。“HKFX2008_OK.exe”是最终生成的反向连接木马服务器端。
- 03
3.把木马服务器端植入他人的电脑 木马的传播方式主要有两种。 一种是通过电子邮件,控制端将木马程序以邮件附件的形式发出去,收信人只要打开附件,系统就会感染木马。 另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。 本实验主要介绍黑客是如何使用木马程序来控制被入侵电脑的,所以直接将反向连接木马服务器端“HKFX2008_OK.exe”复制到了被入侵电脑(192.168.10.1,ZTG2003)中。 接下来运行HKFX2008_OK.exe,反向连接木马就会自动进行安装,首先将自身复制到C:\WINDOWS或C:\WINDOWS\SYSTEM目录下,然后在注册表、启动组、非启动组中设置好木马的触发条件,这样木马的安装就完成了。
- 04
4.黑客进行远程控制 由于是反向连接木马,所以服务器端上线后就会自动连接客户端(黑客),在主界面中(如图5-65)可以看到“ZTG2003”已经与黑客电脑连接了,即被黑客控制。 在图5-65中的【文件管理器】选项卡中,可以像使用【Windwos资源管理器】一样来新建、删除、重命名、下载被入侵电脑中的文件。 在图5-66中的【远程控制命令】选项卡中,可以查看被入侵电脑的系统信息;可以查看、终止被入侵电脑的进程;可以启动、关闭被入侵电脑的服务等。 在图5-67中的【命令广播】选项卡中,可以向所有被入侵电脑发送相同的命令。
- 05
5.手工清除灰鸽子 确认灰鸽子的服务进程名称,假如是“HKFX2008_OK”,在桌面右键单击【我的电脑】图标,在右键菜单中选择【服务】,在弹出的【服务】窗口中,禁止“HKFX2008_OK”服务,右键单击该服务,在右键菜单中选择【属性】,在属性对话框中得到该服务文件的位置,将其删除即可。