精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 计算机安全>>◇软件解析◇>>小心木马——SUB7

主题:小心木马——SUB7
发信人: williamlong()
整理人: williamlong(1999-09-18 17:48:28), 站内信件


  最近,网上出现了一个新的黑客软件——SUB7,它的威力足以使
Back Orifice(BO)黯然失色。它的主要文件有:Editserver.exe
(修改服务器程序)、sub7.exe(木马的客户端程序)、server.exe
(服务器端程序)、server2.exe(服务器端程序)、Editserver.exe
(对上边的两个server进行修改),该黑客软件的功能如下:

  一、服务器端

  1.修改server端安装后的端口。
  2.修改server端的密码。
  3.可将服务器端的信息打包到某个exe文件中。
  4.修改安装后的文件名,也就是说不一定是rundll16.exe。
  5.修改注册表。
  6.安装时:
  (1)加入注册表的Run\位置;
  (2)加入注册表的Runservices\位置;
  (3)加入win.ini;
  (4)让程序自动加system.ini。
  7.修改客户端的别名。
  8.可以选择是否需要在线自动通知:
  (1)ICQ通知;
  (2)E-mail通知;
  (3)IRC聊天室通知。

  二、客户端

  1.Connection manager(连接管理):
  主要有IP扫描、获取服务器端的系统信息、改服务器端的端口号
、改服务器端的密码、升级服务器端和更改在线通知的选项等。

  2.Keys/Messages manager(键盘和消息管理):
  可以监视、更改及清除被控计算机的键盘键入、管理消息,给活
动窗口发送消息和开启与客户端的聊天窗口。

  3.Ass Kickin` manager(踢人管理):
  桌面可以设置几秒刷新一次的小图预览和全屏抓图,把桌面左右
或上下颠倒,开启或关闭FTP服务器,在硬盘上查找文件,监视摄像
头上的画面等。

  4.File manager(文件管理):
  具有一般的文件管理功能。

  5.Window manager(窗口管理):
  可以观察当前开启的窗口、激活和关闭窗口、隐藏和显示“X”
关闭按钮、隐藏和显示窗口、使窗口不可用。

  另外,还有一个Fun manager(玩笑管理),要按键弹出来才可
用。它可以打开浏览器去某个URL、重新启动Windows、隐藏光标、挂
断Modem、隐藏或显示桌面、开始、状态栏、打开或关闭显示器、允
许或禁用“Ctl+Alt+Del"等等。

  

  从以上介绍可以看出SUB7的强大威力,要是你不幸中了SUB7,最
主要的现象就是经常死机。没关系,SUB7虽然厉害、把自己隐藏得很
隐蔽,但是它会在Windows目录下建了一个Rundll16.exe文件,看上
去和Rundll32.exe好像是一起的,都是Windows的系统文件。了解了
这一点,就可以用msconfig或sysedit来清除它。其实,SUB7也属于
BackDoor-G一类,它会通过E-mail的途径,在附件中以屏幕保护程
序或电脑游戏更新的伪装,光明正大地侵入你的电脑。当不知情的使
用者执行含有BackDoor-G的程序后,你的电脑便会门户大开,黑客
可以透过网络在远端窃取所需的信息,甚至删除所有的文件。

  据报导,目前BackDoor-G只会在Windows 95或Windows 98下造
成威胁。而侦测是否已被BackDoor-G入侵的方法十分简单,只要在
Windows系统目录下检查是否有BackDoor-G.ldr、BackDoor-G.srv、
BackDoor-G.cfg等三个文件即可,这些文件分别是与负责外界呼应
的埋伏程序、远端控制指令与相关设定信息等。目前已经有不少扫毒
程序可以侦测BackDoor-G,大家若怀疑自己是否中了SUB7,不妨到
http://www.nai.com或http://www.mcafee.com去下载一个查查看。 

--
                                            
  
  ☆ 蓝色月光 ☆ [email protected]  
  
                                          

※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: bbs.huizhou.gd.]

[关闭][返回]