发信人: emil()
整理人: williamlong(2000-04-07 12:39:39), 站内信件
|
【 以下文字转载自 Virus 讨论区 】
【 原文由 emil 所发表 】
相信大家对BO不会感到陌生,而接下来小生所要介绍的
Subseven却是比BO更加厉害、手法更隐蔽的黑客程序!中了
之后,被任意操纵就不用说的,而值得注意的是该黑客程序
的启动方式很特别,而且在运行的时候,即使按Ctrl+Alt+
Del组合键也无法见到它的踪影,所以特提醒大家小心注意!
小生手头上的Subseven是2.1版,服务器端(受控端)文
件大小为380,835字节,设置界面如图所示,主要分为三个部
分,这是最原始的设置。
首先是左上方的启动方法设置,总共有五种启动方法,
除了常见的修改注册表中的Run、RunServices和Win.ini外,
还有两种比较少见的方法,而且注册表中键值名是可修改的
(默认值是WinLoader),而这五种方法都可以单独或同时启
动,前三种就不用小生多费口舌了,主要讲一下后两种方法。
"less known method"——少见的已知方法,此法是通过修改
system.ini来启动,把其中的"shell=Explorer.exe"改为
"shell=Explorer.exe MSGEXE.exe",其中MSGEXE.exe是受控
端文件,这是默认的名称,但可以修改,小生将在后面有介
绍。"_not_known method"——未知的方法,恕小生肤浅,至
今还不是很清楚这种方法是如何运作的,唯一知道的是除了
生成受控端文件外,还生成一个名为windos.exe的文件,其
大小为11,371字节,这个文件同样是个黑客程序,在常见的
启动项里是看不到它的踪影的,但如果直接删了它的话麻烦
便来了,你会发现在Windows下任何一切EXE执行文件都不能
运行了,Windows会报告说找不到windos.exe文件而拒绝运行,
也许你的第一反应和小生一样——连接文件设置被修改了,
修改回来便行了,但事情并不这么简单,当打开“文件类型”
选项准备修改的时候,你会发现这是无法改动的,这对大部分
人来说只能望机兴叹了,因为Subseven已修改注册表中的
HKEY_CLASSES_ROOT\exefile\shell\open\command,默认的键
值""%1" %*"被修改为"windos.exe "%1" %*"(另一处是
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open
\command,由于是对应的,只要修改了前者,后者也会作相应
的改动),你或许会想运行regedit.exe修改回来即可,但你
别忘了此时连regedit.exe也是无法运行的,怎么办?唯一的
办法只能是恢复注册表了,一个最简单的办法,在纯DOS下运
行edit.exe,编辑如下内容:
REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
文件名可存为huifu.reg(也可是另外的名字,但后缀名必须
是reg),然后回到Windows,双击该文件即可恢复注册表。当
然还有其他的方法,小生这里就不再赘述了。
其次是左下方的通知选项,分别有ICQ、IRC和E-mail三种,
只要一上网远程控制者便会知道被控端的IP、端口和密码等,
即使动态分配的IP也逃不过它的魔掌。
最后是右方的其他设定选项,如端口、密码等。首先是端
口设置,默认值是27374,可以设为其他端口或任意的端口;
接着是进入受控端的密码。中间一项"server name"是设受控
端的文件名,就是生成的文件名,默认值是MSGEXE.exe,但也
可以改为任何其他的文件名,后缀名甚至可以是dll!@#$%&...
"melt server after installation"——该选项设置就是在运
行后将原文件后自动删除,就像BO那样。接下来这项"enable
fake error message"比较狠毒,它是用来在初次运行后显示一
个信息框,信息框的标题、内容、图标和按钮均可改变,这就
使得这黑客程序有了很大的迷惑性。另外,这黑客程序还可以
附在别的执行文件上,附加后文件增加380,835字节,该黑客程
序甚至可以被修改为其他的图标。
另外还有它的控制端……差点说漏嘴。:P但从它的受控端
文件的设置可见一斑,现在AVP、MSV、NAV、Pc-cillin和KILL
98等都可以查杀Subseven2.1了(最新的病毒库),但一些如
KV300、瑞星和Lockdown2000等都还不能查杀。不过该黑客程
序似乎有个bug,当运行一段时间后便会出现一个错误信息框,
首先是"Runtime error 216 at 00002938",接着便是"Runtime
error 216 at 000043F2",这似乎是Subseven特有的,而且
这个窗口无法关闭,只能重起,所以,一旦出现这个窗口各位
可就小心啦!另外,在“系统信息”=>“正在运行任务”中可
以看到它的踪影。在局域网中,Subseven只对直接连网的机有
效,对其他从机无效,除非受控端和控制端同在一个局域网内。
以上是小生在Win98下的实际测试情况,在WinNT下暂时还
没有试过,见识肤浅,还望各位大虾多多指教,各位有什么高
见或问题欢迎来电脑报论坛电脑病毒版或网易虚拟社区(广州)
电脑病毒版发表,或伊妹儿给我[email protected],有空
聊聊。:)
--
为您解答各种病毒疑难问题,报道最新的病毒资讯!
《电脑报》病毒论坛
http://bbs.cpcw.com/forum/virus/index.html
Email: [email protected]
Oicq:201604
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.96.190.124]
--
※ 转载:.网易 BBS bbs.netease.com.[FROM: 202.96.190.124]
|
|