与特洛伊木马过招（一）

网络软件	系统工具	应用软件	图形图像	多媒体类	免费游戏	安全相关	免费音乐	网页素材	电子书籍	考试考题	建站源码
教育教学	多媒体类	编程开发	操作系统	游戏天地	娱乐天地	简历求职	站长专区	网页设计	安全技术	图形图像	文学驿站

当前位置：热点网络学院 → 安全技术 → 病毒漏洞 → 与特洛伊木马过招（一）


精品推荐


热点TOP10

·ISS PAM ICQ通信服务应答处理缓冲区溢出漏洞

·BBS3000漏洞

·Red Hat 安全公告 RHSA-2002:148-06 (Linux,补丁)

·IIS FTP远程溢出漏洞

·IIS .ASP扩展LANGUAGE溢出漏洞

·杀人网络生存八招(菜鸟级)：游走在普通人与黑客之间

·Buffer Overflow 机理剖析(三)

·用自解压包入侵

·Crob FTP Server V3.5.1拒绝服务攻击缺陷

·基于Telnet协议的攻击

·安全和防毒才是首要!禁用WinXP的USB设备

·Plug and Play Web Server远程拒绝服务攻击漏洞

·eMule客户端AttachToAlreadyKnown内存双释放漏洞

·Midnight Commander 打开目录时执行任意命令漏洞

·Internet 协议安全 (IPSec) 循序渐进指南(六)

与特洛伊木马过招（一）

日期：2005年11月13日作者：查看:[大字体中字体小字体]

什么叫做“特洛依木马”？它来自于希腊神话，这里指的是一种黑客程序，它一般有两个程序，一个是服务器程序，一个是控制器程序。如果你的电脑安装了服务器程序，那么，黑客就可以使用控制器进入你的电脑，通过命令服务器程序达到控制你的电脑的目的。
个人上网电脑威胁最大的就是病毒和特洛依木马，不要以为你的电脑没有什么秘密的资料，你就不怕木马了，首先，中了木马的电脑什么安全性也没有了，拨号上网的密码，信箱密码，主页密码，甚至网络信用卡密码也会被偷走，其次，黑客要是有病毒库，就可以通过木马传染到你的电脑上来，你平时再谨慎也没有用了。你的鼠标被人家控制，键盘被锁上了，屏幕被人家看见了，电脑还算是你的吗？

所以，你应当留神自己的电脑有没有木马，我在网络上看过很多关于安全的文章，涉及木马的比较少，另外有些文章对木马有错误的认识，比如《网络报大众版》（总第65期1999年12月20日）的“安全/攻击”栏目中文章《注册表的妙用》有句话：“不管是什么样的后门工具，也许在它运行后就会消失，但有它逃不过的地方，那就是你的WIN.INI、启动组和注册表！”，如果经常玩木马的人，就该知道，非自动方式启动的木马可以被捆绑到任何程序中，比如将木马捆绑到OICQ程序上，在注册表等启动组中均找不到痕迹，而你一旦启动OICQ，就会启动木马。在我们的电脑中，可执行程序（EXE、COM程序）有上千个是不希奇的，都可以成为捆绑的对象。

因为木马对个人电脑是个重大的威胁，所以也促使我写一篇比较详细的文章，奇奇在这里列出了网络上大部分木马，我将告诉你如何删除这些木马。

一、特洛伊木马的基本知识

我写这些东西是为了治病救人的，不是让别有用心的人去害人的。所以这里只对木马做描述，不提供下载木马软件。

“知己知彼，百战百胜”，如果想要学好防御，必须要知道特洛伊木马是如何攻击的。如果你想攻击别人的话，你只需要知道其中的一个木马攻击办法就可以了，如果是防御攻击的话，你不得不知道得更多。所以，奇奇会讲得比较仔细，希望大家不要误会我在教人如何做坏事。

如果你对木马真的感兴趣的话，当然会有地方学习的，请到我的主页上去看看http://cn77.my169.com），我会指点你去一个地方下载的。特洛伊有两个部分，一个是服务器，一个是控制器。如果你的电脑上安装了服务器，那么黑客就可以使用控制器进入你的电脑。

新安装的电脑是没有木马存在的，一般黑客要想你安装上木马的办法是写信给你，告诉你有一个很好的软件，你运行以后没有什么反应，这时候，木马已经安装到你的电脑中了。

一般的程序需要我们点击该程序才会启动，那么木马是怎样启动的呢？
木马为了能在每次电脑开机的时候进入内存发挥作用，主要手法是加载到注册表的启动组中，也有些会捆绑到其他程序中附带进入内存，这些被捆绑程序有电脑启动的时候WINDOWS自动运行的，也有用户自己需要而运行的。

木马是怎样和黑客联系的呢？怎样把你的资料送给黑客的呢？
大部分情况下是黑客和你的电脑中的木马联系，当木马在你的电脑中存在的时候，黑客就可以通过控制器命令木马做事情了。这些命令是在网络上传递的，需要遵守TCP/IP协议。TCP/IP协议规定电脑的端口有256*256=65536个，从0到65535号端口，木马打开一个或者几个端口，黑客所使用的控制器就是进入木马的端口进入你的电脑的。

这些端口好象“后门”一样，所以，也有人把特洛伊木马叫做后门工具。

每个木马所打开的端口不同，根据端口号，可以识别不同的木马，比如NETSPY木马的端口是7306，SUB7的端口是1243，但是，有些木马的端口号是可以改变的，比如SUB7，黑客通过控制器可以将端口号改变成12345等号码。

现在我们该知道三点了：一，木马需要一种启动方式，一般在注册表启动组中，二，木马需要在内存中才能发挥作用，三，木马会打开特别的端口，以便黑客通过这个端口和木马联系。我们基于这三点可以删除木马，防御黑客的攻击。

    下面就我们来看看网络上流行的木马。
  二、部分特洛伊木马的特征
（更新日期：2000年2月21日）
  木马名称端口启动方式木马位置
BirdSPY2 可变47878
不清楚50829 注册表加载
用户误操作 C:\WINDOWS\SYSTEM\WinApp32.exe
C:\WINDOWS\Winbime.scr
C:\WINDOWS\Ndapi32c.dll
C:\WINDOWS\SYSTEM\WinSock.exe
C:\WINDOWS\Winbife.scr
C:\WINDOWS\Ndapi32K.dll
C:\WINDOWS\ .bat
C:\WINDOWS\winstart.bat
bo 1.20 可变31337 注册表加载 C:\WINDOWS\SYSTEM\ .exe
Deep Throat 1.0 固定2140 3150 注册表加载不能确定
Deep Throat 3.0 可变2140 3150 6671 注册表加载 c:\windows\systray.exe
ftp 固定21 无不能确定
FTP Serv-U 2.3b 固定1492 注册表加载 c:\windows\system\Windll16.exe
GirlFriend 1.3 可变20000 注册表加载 C:\WINDOWS\Windll.exe
Glacier 1.2 固定7626 注册表加载 C:\WINDOWS\SYSTEM\Kernel32.exe
C:\WINDOWS\SYSTEM\Sysexplr.exe
Glacier 2.0 可变7626 注册表加载 C:\WINDOWS\SYSTEM\Kernel32.exe
C:\WINDOWS\SYSTEM\Sysexplr.exe
Glacier 2.1 可变7626 注册表加载 C:\WINDOWS\SYSTEM\Kernel32.exe
C:\WINDOWS\SYSTEM\Sysexplr.exe
InCommand 1.0 可变9400 9401 9402 注册表加载不能确定
Kuang2v 固定17300 系统文件启动 c:\windows\trdq.exe
Millenium 1.0 固定20000 20001 注册表 win.ini C:\windows\system\reg66.exe
NetBus 1.53 固定12345
    12346 无不能确定
NetBus 1.60 固定12345
    12346 注册表加载 C:\WINDOWS\MRING.EXE
NetBus 1.70 固定12345
    12346 注册表加载 C:\WINDOWS\PATCH.EXE
Netspy 1.0 固定7306 注册表加载 c:\windows\system\netspy.exe
Netspy 2.0 可变7306 注册表加载 c:\windows\system\netspy.exe
C:\WINDOWS\SYSTEM\NETSPY.dat
Open Share 固定139 注册表加载无文件形式木马
phAse 1.0 固定555
可变555 无
注册表加载不能确定
C:\WINDOWS\System\msgsvr32.exe（可变）
prosiak 0.47 固定22222 33333 注册表加载 C:\WINDOWS\SYSTEM\Windll32.exe
ProcSpy 固定7307 无不能确定
Remote-Anything 4000 3996 注册表加载 C:\WINDOWS\SLAVE.EXE
schoolbus 固定3210 4321 注册表加载 C:\WINDOWS\SYSTEM\Grcframe.exe
schoolbus 1.60 固定54321 43210 捆绑文件 c:\windows\system\grcframe.exe（木马）
c:\windows\system\runonce.exe（启动文件）
schoolbus 2.0 可变54321 44767 捆绑文件 c:\windows\system\grcframe.exe（木马）
c:\windows\system\runonce.exe（启动文件）
SubSeven 1.0 固定6713 1243 注册表加载 C:\WINDOWS\SysTrayIcon.Exe
SubSeven 1.1 可变1243 注册表加载 C:\WINDOWS\SysTrayIcon.Exe
SubSeven 1.3 可变6711 6776 1243 win.ini加载 c:\windows\nodll.exe
c:\windows\~win.bak
c:\windows\window.exe
SubSeven 1.4 可变1243 win.ini加载
SubSeven 1.5 可变6711 6776 1243 win.ini加载 c:\windows\nodll.exe
c:\windows\winduh.dat
c:\windows\window.exe
SubSeven 1.6 可变6711 6776 1243 注册表加载 c:\windows\system\rundll16.com
c:\windows\system\systray.exe
SubSeven 1.7 可变6711 6776 1243 注册表加载 c:\windows\KERNEL16.DL
SubSeven 1.8 可变6711 6776 1243 system.ini加载 c:\windows\kerne132.dl
Subseven 1.9 可变6711 6776 1243 system.ini加载 c:\windows\mtmtask.dl
SubSeven 1.9 ver2 可变6711 6776 1243 system.ini加载 c:\windows\mtmtask.dl
Sub7 1.9 中文控制器
SubSeven 2.0 可变1243 6776 system.ini加载 c:\windows\kerne1.exe
SubSeven 2.1 可变27374 无 c:\windows\MSREXE.exe
WinCrash 1.03 固定5742 注册表加载 c:\windows\system\server.exe
X SPY 1.0 固定7308 无不能确定
YAI 07.29 1999 可变1024 不能确定 c:\windows\system\Odbc16m.exe

（出处：http://down.abcdown.net/）