科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道这个马儿太厉害!浅析灰鸽子的防范与清除(图) (1)

这个马儿太厉害!浅析灰鸽子的防范与清除(图) (1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

偶尔得到了一款灰鸽子2.02 VIP版,试用了半天竟然控制了20多台肉鸡,看着这些肉鸡任由宰割,笔者异常兴奋,不仅由衷地感叹道——这个马儿太厉害!

作者:安全中国 2007年11月6日

关键字: 灰鸽子 灰鸽子病毒 灰鸽子专杀 灰鸽子2007 灰鸽子专杀工具

  • 评论
  • 分享微博
  • 分享邮件

  偶尔得到了一款灰鸽子2.02 VIP版,试用了半天竟然控制了20多台肉鸡,看着这些肉鸡任由宰割,笔者异常兴奋,不仅由衷地感叹道——这个马儿太厉害!

  一、厉害之处

  ⒈马儿健壮

  主流的杀毒软件竟然无法查杀灰鸽子。笔者使用的是国内某知名杀毒软件的最新版,不论是灰鸽子的服务端程序还是客户端程序,这个杀毒软件均不报警。用灰鸽子的屏幕捕获功能发现,被控制的20多台肉鸡绝大多数都运行着杀毒软件,这些杀毒软件基本上囊括了国内以及国际上主流的杀毒软件。笔者给一个被控制的肉鸡发了一个文本消息,吓得他用杀毒软件和包括木马克星在内的各种杀马软件扫描电脑,然而遗憾的是,直到现在笔者还用灰鸽子控制着他。

  ⒉端口反弹,天网防火墙形同虚设

  笔者的电脑上安装了最新版本的天网防火墙,在玩灰鸽子的过程中,一不小心,笔者在自己的电脑上运行了灰鸽子的服务端程序,然而,天网防火墙却没有任何报警。

  天网防火墙对本地应用程序访问网络的请求管理的不是太严格,而且对已信任的程序访问网络的连接不做任何报警。灰鸽子是一款反弹端口的木马,和传统的木马不一样的是它不监听一个端口等待客户端来连接自己,而是自己以IE浏览器的身份主动去连接客户端,而IE浏览器是天网防火墙默认的已信任程序,所以灰鸽子能够轻易“穿透”天网防火墙。因为灰鸽子是以IE浏览器的身份去访问网络的,而任何防火墙都不会限制IE浏览器浏览网页,所以从理论上来讲,灰鸽子能“穿透”任何防火墙,这一点,鄙人通过已控制的20多台肉鸡得到了证实。

  端口反弹木马的工作原理:在传输层,和传统的木马恰恰相反,被控端(服务端)执行客户端的命令,但它不监听一个端口,而是主动去连接客户端;客户端给服务端下达命令,但它不主动去连接服务端,而是开一个端口监听服务端的连接。

  ⒊反向连接,被控制电脑“自动上线”

  灰鸽子是反向连接的木马,也就是说,被控制电脑会主动连接控制端电脑。冰河、BO 2000这些传统的木马要连接被控端电脑必须告知客户端被控电脑的IP地址和端口等信息,而灰鸽子则不同,灰鸽子的客户端启动后,被控制电脑会争先连接到客户端,灰鸽子使用了语音提示的功能,当一台被控制的电脑连接到客户端后,一个标准的女中音会提示:有主机上线,请注意!听着这一声声提示,看着被控制的电脑自动地纷纷出现在“自动上线的主机”列表中(如图1),笔者在想:马儿实在是太可怕了!

  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章