网络安全 频道

木马反击战 揪住灰鸽子木马的马脚

    【IT168 专稿】前几天笔者去了一个大软件站下载软件,打开下载页面后,突然间机器变得很卡。由于是新装的系统,一些补丁没打,很可能是中了网页木马,这世道一些下载大站也不安全啊,下载软件的页面一定被人挂了网页木马了。打开CMD,输入命令,NETSTAT –A,回车,发现8000端口开放,种种现像看来80%中了灰鸽子,这个端口是鸽子的默认端口。接着用木马辅助查找工具纠出了鸽子的服务端。一个名为TSERVE.EXE的文件。

    笔者很想知道下究竟是哪个无聊的家伙挂的马,于是笔者用比较另类的方式用获取这个灰鸽子服务端的配置信息及控制我的人的IP地址,然后拿IP报警去。

    笔者用资源编辑工具看了下,是个无释放DLL的鸽子。接下来自己下一个鸽子配置一个演示我获取配置信息的过程。然后对获得的TSERVE.EXE这个文件用下面的对照得到了它的配置信息。

    这里用黑客防线专版鸽子(不释放DLL文件)为例子。至于VIP2005,1.23,2.0,2.03的服务端同样适用。VIP版本的释放DLL,原理上也能够破译的但没做测试。需要用到的工具有,一个无壳的黑客防线鸽子,Restorator2007,16进制编辑工具(推荐C32ASM或UltraEdit-32)。

    为了演示破译过程,首先自己先配置一个鸽子。配置信息如图1,图2,图3所示。然后生成服务端。


 
图1
 
图2
 

图3

    首先说明,我们演示生成的鸽子的服务端是没有壳的。大多数加了壳或加了密的鸽子服务端这种破译方式同样适用。如果您是脱壳高手那即使直接不能读取资源信息的您可以先脱壳。最简单的介绍一个软件,FreeRes_0.94c,用它重新建立资源可以解决。如果只能破译无壳服务端本篇文章的意义就不大了。这里演示提供的是方法思路。希望读者明白。
好了,用Restorator2007打开刚才配置完毕的灰鸽子服务端。如图4,


图4


    需要说明一下,看图4左侧的树状资源名称列表里面RCDATA资源列表展开后下面的一些资源其中HACKER这个资源里面包含着鸽子的配置信息,看右侧框框里面的字串既是加了密的配置信息。但是网络上一些人为了使鸽子躲过金山2007杀毒软件数据流的查杀,将RCDATA中的资源名称修改过。下面图5,既是此情况的截图。

图5

    其中图4里面的HACKER的资源名称被更改为CCODIY,其他的资源名称也被更改了。识别RCDATA里面究竟哪个资源是配置信息很简单,我们看到HACKER是由六个英文字母组成的,即使更改了,这个名称组成的位数是不能变的,RCDATA里面的资源名称是6位的只有两个,用鼠标点资源名称后在右侧显示是一行字串的就是更改过的HACKER资源项。将一行字串全部复制出来到记事本上。忘了说了,图5的是最开始配置出来的。将CCODIY资源里字串复制到记事本上。

${PageNumber}

    接下来用UltraEdit-32(以下简称UE),打开无壳鸽子控制端按下图(图6)搜索,


图6


    7238C73A2A6EDD28B190D473D483DDE5C58B155FB8CEA2376474FC324EE15CEB
看到了右侧的这些字串。我们曾把配置信息复制了出来。如下图(图7)


 
图7


    采用记事本自动换行的方式每行32个字母数字组合,两行蓝色选中为64个,首先将前两行复制出来0AA690A8D7B6A7306E60B08E496271002A707CCAA8D64967DC05476F784D7738F937替换掉刚才在UE中替换出来的那一行即用0AA690A8D7B6A7306E60B08E496271002A707CCAA8D64967DC05476F784D7738替换7238C73A2A6EDD28B190D473D483DDE5C58B155FB8CEA2376474FC324EE15CEB。然后用UE将文件另存为1.exe。打开1.exe,看到鸽子的标题栏如下图(图8)


 
图8


    其中图1配置过的上线IP通知那里配置过的yanshi.3322.org显示在鸽子控制端的标题栏里了。依次复制后面的64位继续替换得到下面图9,图10,图11,图12


 
图9

图10
 
图11
 
图12

${PageNumber}

    然后将这些标题栏的信息整合起来得到下面:
    Yanshi.3322.orgafffa33860c77794c:\test.exe50破译测试测试        180000001110test_111111test222222test_33333301080guesthuigezi

    其中192.168.1.66是本机IP,信息整合时候不要填写。和前面图1,2,3对照得到了一些需的信息,上线ip为:yanshi.3322.org,安装路径:c:\test.exe,显示名称:test_111111,服务名称:test_222222,描述信息:test_333333.

    其中IP可以帮助我们查找到给我们机器种植鸽子的IP地址。安装路径和显示名称、服务名称、描述信息可以帮助我们迅速清除鸽子。

    下面是我获得TSERVE.EXE这个文件配置信息的截图。



图13
 
图14
 
图15
 
图16


图17

 
    通过分析可以知道,这个服务端的配置信息为:

    上线IP:pi11o.3322.org, 安装路径:c:\$(windir)\ftg.exe(其中\ftg前面的代表系统根目录),显示名称:t_server,服务名称:t_server,描述信息:微软服务管理。

    我们也会发现在例子中获取的整合信息最后有01080guesthuigezi这样一部分,这个是SOCKS5代理的信息,如果是例子中的一样那是很可能没被开SOCKS5如果不和例子中的一样是很可能被开了SOCKS5代理,看01080guesthuigezi这串,其中1080是开放端口,guest是用户名huigezi是密码。而我最后破译的这个服务端最后和例子不一样,那就几乎被开了SOCKS代理,以前一段时间你的电脑被人狂刷了Q币等服务就是被鸽子开了这个代理。
0
相关文章