有没有可以远程控制QQ的硬件？

2006-05-22

认清恶意程序：解析危险的木马一位客户的PC出现了奇怪的征兆，速度变慢打开对方qq软件，CD-ROM托盘毫无规律地进进出出，从来没有见过的出错信息，屏幕图像旋转，等等。我切断了他的Internet连接，然后根据对付恶意软件的标准方法执行检测，终于找出了罪魁祸首：两个远程访问木马——一个是Cult of the Dead Cow臭名昭著的Back Orifice，还有一个是不太常见的The Thing。 在此次风波中，攻击者似乎是个孩子，他只想弄些恶作剧，让对方上不了网，或者交换一些资料，但没有什么很 危险的举动。如果攻击者有其它很危险的目标，那么他也许终于从用户的机器以及网络上窃得许...全部

认清恶意程序：解析危险的木马一位客户的PC出现了奇怪的征兆，速度变慢，CD-ROM托盘毫无规律地进进出出，从来没有见过的出错信息，屏幕图像旋转，等等。我切断了他的Internet连接，然后根据对付恶意软件的标准方法执行检测，终于找出了罪魁祸首：两个远程访问木马——一个是Cult of the Dead Cow臭名昭著的Back Orifice，还有一个是不太常见的The Thing。

在此次风波中，攻击者似乎是个孩子，他只想弄些恶作剧，让对方上不了网，或者交换一些资料，但没有什么很 危险的举动。如果攻击者有其它很危险的目标，那么他也许终于从用户的机器以及网路上窃得许多机密资料了。

木马比任何其它恶意代码都应危险，要保障安全，最好的方法就是熟悉木马的类别、工作原理，掌握如何评估和防止这种不怀好意的代码。一、初识木马木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的状况下，让攻击者获得了远程访问和控制系统的权限。

一般而言，大多数木马都模仿一些正规的远程控制工具的用途，如Symantec的pcAnywhere，但木马也有一些显著的特征，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把木马隐藏在一些游戏或小工具之中，诱使粗心的客户在自己的机器上运行。

最常见的状况是，上当的客户要么从不正规的网站下载和运行了带恶意代码的硬件，要么不小心点击了带恶意代码的短信附件。大多数木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的软件将服务器部分绑定到某个合法工具上，诱使客户运行合法工具。

只要用户一运行硬件，木马的服务器部分就在客户毫无知觉的状况下完成了安装过程。通常，木马的服务器部分都是可以定制的，攻击者可以定制的项目通常包含：服务器运行的IP端口号，程序开启时机，如何发出调用，如何隐身，是否加密。

另外，攻击者还可以设定注册服务器的密钥、确定通信手段。服务器向攻击者通知的方法或许是发送一个email，宣告自己当前未顺利接管的机器；或者也许是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当木马的服务器部分开启后来，它还可以直接与攻击者机器上运行的用户程序通过预先定义的端口进行通信。

不管木马的服务器和用户程序怎样创建联系打开对方qq软件，有一点是不变的，攻击者总是利用用户程序向服务器程序发送命令，达到操纵用户机器的目的。木马攻击者既可以随心所欲地查看未被入侵的机器，也可以用广播形式发布命令，指示所有在他控制之下的木马一起行动，或者向更广泛的范围传播，或者做其它危险的事情。

实际上，只要用一个预先定义好的关键词，就可以使所有被入侵的机器格式化自己的内存，或者向另一台主机发起攻击。攻击者经常会用木马侵占大量的机器，然后对于某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到网络应被异乎寻常的通信量淹没，试图找出攻击者时，他只好追踪到大批懵然不知、同样也有受害者的DSL或线缆调制解调器用户，真正的攻击者早就溜之大吉。

二、极度危险的恶意程序针对大多数恶意程序，只要把他们删除，危险就算过去，威胁也不再存在，但木马有些特殊。木马和细菌、蠕虫等等的恶意程序一样，也会删去或更改文件、格式化磁盘、上传和下载文件、骚扰用户、驱逐其它恶意程序，例如，经常可以看见攻击者霸占被侵入机器来储存游戏或攻击工具，用户所有的磁盘空间几乎都被毁坏殆尽，但除此之外，木马还有其独一无二的特征——窃取内容，远程控制——这促使他们作为更危险的恶意工具。

首先，木马具有捕获每一个用户屏幕、每一次键击事件的能力，这意味着攻击者能够轻松地盗取客户的密钥、目录模式、驱动器映射，甚至医疗记录、银行账户和、个人通信方面的信息。如果PC带有一个麦克风，木马能够谈话内容。

如果PC带有，许多木马能够把它开启，捕获视频内容——在恶意代码的全球中，目前还没有比木马更威胁用户隐私的，凡是你在PC前所说、所做的一切，都有也许被记录。一些木马带有包嗅探器，它无法捕获和分析流经网卡的每一个数据包。

攻击者可以运用木马窃取的信息设置后门，即使木马后来被清除了，攻击者仍可以借助当时留下的后门方便地走入。其次，如果一个未经授权的用户掌握了远程控制宿主机器的素质，宿主机器就成为了超强的伤害武器。

远程攻击者不仅拥有了肆意操纵PC本身资源的素质，而且能够够冒充PC合法客户，例如伪造合法用户群发短信、修改文档，当然还可以运用被侵占的机器攻击其它机器。二年前，一个家庭客户请我麻烦，要我给他向交易机构证明他并没有提交一笔看来明显获利的股票交易。

交易机构确实在该笔交易中记录了他的PC的IP地址，而且在他的浏览器缓冲区中，我也找到了该笔有纠纷的交易的痕迹。另外，我还找到了SubSeven（即Backdoor_G）木马的迹象。虽然没有证据显示出木马与这笔令他损失惨重的股票交易直接有关，但可以看出交易出现之时木马正进入活动状况。

三、木马的类别常见的木马，例如Back Orifice和SubSeven等，都是多种类的攻击工具包，功能十分全面，包括捕获屏幕、声音、视频内容的功能。这些木马可以只是键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找跟窃取密码。

攻击者可以配置木马的网关、运行模式，以及木马是否通过email、IRC或其它通讯方式联络发起攻击的人。一些伤害大的木马还有一定的反侦测能力，能够采用各类形式隐藏自身，加密通信，甚至提供了级的API供其他攻击者开发附加的用途。

由于功能全面，所以很多木马的体积也常常较大，通常超过100 KB到300 KB，相对而言，要把他们安装到客户机器上而不造成任何人注意的难度也较大。对于功能非常单一的木马，攻击者会力图使它维持较小的密度，通常是10 KB至30 KB，以便迅速激活而不引起注意。

这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件预测客户的操作了。还有一些木马具有FTP、Web或聊天服务器的用途。通常，这些小型的木马只用来盗取难以取得的初始远程控制能力，保障最初入侵行动的安全，以便在不太可能引起注意的适度时机上载和调试一个功能全面的大型木马。

随便找一个Internet搜索网页，搜索一下关键词Remote Access Trojan，很快就可以得到数百种木马——种类极其庞杂，以至于大多数专门搜集木马的Web网站不得不按照字母排序进行排列，每一个字母下有数打并且一百多个木马。

下面我们就来说说两种最流行的木马：Back Orifice和SubSeven。1998年，Cult of the Dead Cow开发了Back Orifice。这个程序马上在木马领域出尽风头，它除了有一个可编程的API，还有许多其它新型的用途，令许多正规的远程控制工具也相形失色。

Back Orifice 2000（即BO2K）按照GNU GPL（General Public License）发行，希望从而吸引一批正规用户，以此与知名的远程控制工具如pcAnywhere展开竞争。

但是，它默认的隐蔽操作方式跟明显具有攻击色彩的企图迫使许多用户不太可能在短时间内接受。攻击者可以运用BO2K的服务器配置软件可以配置许多服务器参数，包括TCP或UDP、端口号、加密类型、秘密激活（在Windows 9x机器上运行得很好，在Windows NT机器上则略逊一筹）、密码、插件等。

Back Orifice的许多特征给人以深刻的印象，例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码泄露、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩，等等。

Back Orifice带有一个软件开发工具包（SDK），允许借助插件扩充其用途。默认的bo_peep。dll组件允许攻击者远程控制机器的按键跟键盘。就实际应用方面而言，Back Orifice对出错的输入命令十分敏感，经验不足的新手可能会使它经常地崩溃，不过到了经验丰富的老手那里，它既会更加驯服而又强大。

■ SubSevenSubSeven可能比Back Orifice还要受欢迎，这个木马一直进入各大反病毒软件厂商的感染统计榜前列。SubSeven可以成为键记录器、包嗅探器使用，还带有端口重定向、注册表修改、麦克风跟记录的功能。

图二显示了一部分SubSeven的客户端命令跟服务器配置选项。SubSeven具有许多让受害者难堪的功能：攻击者可以远程交换鼠标键盘，关闭/打开Caps Lock、Num Lock和Scroll Lock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和开启监视器，翻转屏幕显示，关闭和重新启动计算机，等等。

SubSeven利用ICQ、IRC、email甚至CGI脚本跟攻击发起人联系，它无法随机地设置服务器端口，并向攻击者通知端口的变化。另外，SubSeven还提供了专用的代码来窃取AOL Instant Messenger（AIM）、ICQ、RAS和屏幕保护程序的密码。

。收起

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-143441-1.html