Virus 版 (精华区)

发信人: seak (江海客), 信区: Virus
标  题: 附录：有关后门工具的一些信息
发信站: 紫 丁 香 (Fri Nov 12 20:32:59 1999) WWW-POST

附录：有关后门工具的一些信息
          整理/江海客（seak@163.net）

附录一：一些的后门工具介绍
名称: NETBUS
主要特点介绍:
NETBUS是一个图形界面的后门工具，可以很容易的
控制目标机的各种资源，可以完成让目标机执行程序、
控制目标机鼠标、查看目标机屏幕COPY、打开连接、
运行程序、上传下载文件等十多项功能
首次运行特性:
屏幕没有任何响应，把自己COPY到95/98的系统目
录下，文件名与被执行的文件名一致，修改注册表。
开机运行方式:
通过修改注册表的方式在开机方式运行，在注册表中
添加键的位置为
HKEY_LOCAL_MACHINE\Software\Microsoft\ 
Windows\CurrentVersion\Run添加键值名称与运行文件
名一致，键值为C:\WINDOWS\XXXX.EXE /nomsg 
（xxxx是文件的名称）
SERVER端介绍:
长度为472576字节，默认图标为一支火炬，通过TCP
连接，开放端口为12345、12346，端口不能改变。
手工检测清除方法:
Netstat -an查看是否12345端口开放，在注册表对应
位置中是否有可疑文件，首先清除注册表中NETBUS
的主键，然后重新启动机器，删除掉其运行文件即可。
点评:
该程序的优点是操作简便，功能强大，弱点是他是一
个封闭的系统，不能通过插件来扩展功能，同时下传
文件操作也很不方便，另外由于开放端口不能更改，
使程序的隐蔽性不强。

名称:Back Orifice（BO）
主要特点介绍:
BO是Cult of the Dead Cow（死牛祭祀）小组推出的
最为富有代表力力的95/98后门工具，它提供了命令
行方式和图形界面方式两种操作方式。可以对目标机
进行全面的控制，同时BO开放了程序接口，可以接
受第三方提供的插件。
首次运行特性:
第一次运行时把自己copy到95/98系统的system目录
下，目标文件名可以预先定义，并修改注册表，文件
自身从当前目录下消失。
开机运行方式:
通过修改注册表方式开机运行，添加位置为
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices，键名与预先定义的文件
名一致。默认文件名为.exe
SERVER端介绍:
BO服务器端是一个看不到图标的可执行文件，目标文
件名为可以通过设置程序改变，扩展名也可为DLL，
长度有124928字节、178291字节等多个版本，通过UDP
连接，默认端口为31337（可以通过设置程序改变），
手工检测清除方法:
用netstat -an检测有没有31337等可疑的端口，注册
表对应位置和system目录下有无相应特征的可疑文
件。
点评:
BO的功能非常强大，几乎是后门工具的代名词，但在
使用的简便性上逊色于NETBUS，另外，似乎程序也
有一些BUG。


名称:Back Orifice 2000（BO2K）
主要特点介绍:
BO2K是死牛祭祀小组推出的BO后续版本，除了BO
原有的能力外，BO2K在设置功能、开放式结构、通讯
方式等方面有了全面的进步，同时该程序可以工作在
NT上。
首次运行特性:
第一次运行时把自己copy到95/98系统的system目录
下，目标文件名与预先定义的一致，并修改注册表，
文件自身从当前目录下消失。
开机运行方式:
通过修改注册表方式开机运行，添加位置为
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices，键名与预先定义的文件
名一致，默认文件名为UMGR32.EXE。如果工作在NT
上他将添加一个服务，默认服务名为Remote 
Administration Service（可以通过设置改变）。
SERVER端介绍:
目标文件名可以通过设置程序改变，图标为普通的可
执行文件图标，长度为114688字节，可以根据设定选
择通过UDP还是TCP连接，端口可随意设置，传输包
可以用算法加密。
手工检测清除方法:
用netstat -an检测有没有等可疑的端口和连接，注册
表对应位置和system目录下有无相应特征的可疑文
件。删除注册表项后，重新启动机器，再删除对应文
件。
点评:
BO2K是一个接近完美的后门工具。而且该程序的开放
结构比BO更为标准，而且公开了全部源码，为第三
方开发插件提供了良好的基础。

名称NETSPY
主要特点介绍:
NETSPY是一个操作风格类似WINDOWS资源管理器
的后门工具，由两名中国网民设计，他可以方便的实
现对目标机文件的上传和下载，使目标机执行程序等
功能
首次运行特性:
屏幕没有任何响应，将自身copy到95/98系统的sytem
目录下，无论执行时文件叫什么名字，copy 后文件名
都叫做netspy.exe,并在此目录下释放出一个名为
SPYNOTIFY.exe，这才是真正的SERVER端，修改注
册表。
开机运行方式:
通过修改注册表的方式在开机时运行，添加键的位置
为
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows 
\CurrentVersion\Run，并添加两项，键值分别为
C:\WINDOWS\SYSTEM\SPYNOTIFY.EXE、
c:\windows\system\netspy.exe
SERVER端介绍:
SPYNOTIFY.EXE长度为23552字节，图标为一个青衣
的间谍头像，netspy.exe长度为88576字节，该程序采
用TCP连接，使用5个730X的端口，特别成功的是
当没有client端对server端操作的时候，server端并
没有开放的端口。这意味着采用netstat -an命令查看
连接，可能不能发现netspy的存在，除非上载或者下
传的操作正在进行
手工检测清除方法:
该程序server端的藏在95/98系统下的文件名不能象
netbus那样随意改变，或者象BO那样预先定义，这使
被攻击的用户可以很容易从注册表或者system目录中
发现netspy的存在，只需把其在注册表中的两个键值
删除，重新启动机器，把两个文件删除就可以了。
点评:
该程序的功能恰如作者所说是一个没有权限限制的
FTP SERVER，其他功能比较弱。

名称 HAPPY99
主要特点介绍:
HAPPY与上述木马程序有所不同，HAPPY99本身有一
定病毒或者蠕虫的特性，他可以借助邮件附件的方式
传播自己，这一点与后来的melissa等病毒十分相似，
或许就是HAPPY99的创新之处给予了melissa等病毒
作者以提示。
首次运行特性:
该程序被执行时屏幕上打开一个名为HAPPY NEW 
YEAR1999的窗口，显示有美丽的焰火，此时该程序
把自身COPY到95/98的SYSTEM目录下命名为
ska.exe,释放出文件ska.dll，并修改wsock32.dll，把
修改前的文件备份为wsock32.ska,修改注册表。
开机运行方式:
通过修改注册表方式开机运行，添加键位置为
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunOnce，添加键值为ska.exe
SERVER端介绍:
HAPPY99不是c/s模式的远程控制工具，他会在你发
送邮件件的过程中，偷偷的把自己作为附件发送传播，
文件长度：hapyy99.exe（ska）为10000字节，ska.dll
为8192字节，wsock32.dll长度并不因修改发生变化，
因为happy99把添加的部分放在了原文件的一些空白
的地方。
手工检测清除方法:
查找对应的注册表位置与WINDOWS目录下是否有对
应特征的文件名，删除其键值，和ska.dll和ska.exe
两个文件，将文件 wsock32.ska，重命名为“wsock32.dll,
杀毒结束，重启机器。
点评:
Happy99非常小巧，他的部分功能依赖修改了系统的
动态连接库实现，这种手法应当予以小心。

名称PICTURE
主要特点介绍:
PICTURE是一个与HAPPY99有些类似的木马，以MAIL
附件的形式传播，值得注意的是这是一个直接会泄露
你私人信息的后门。
首次运行特性
PICTURE本人没有标本，不清除运行后前台表现，根
据资料，picture常见传播文件名有picture.exe、
notes.exe、manager.exe等等，运行时，会把自身copy
到9X目录下，并修改win.ini.
开机运行方式:
依靠把win.ini的LOAD=指向自身开机运行。
SERVER端介绍:
PICTURE不是c/s模式的远程控制工具，但他会建立
你机器中的.txt、.htm的列表，挑选出链接，做成加密
文件发回某地址，特别是美国在线用户用户名称与密
码将同时也被发走。该程序，有353792和348672字
节等版本。
手工检测清除方法:
检查win.ini load=是否指向一个可疑程序，清除掉这
一项，重起动，删除指向的程序就可以了。
点评:这不是在国内很流行的程序。

附表2：后门工具采用的端口列表（根据网上资料，略有改动）
port 21 : Blade Runner、 Doly Trojan、 Fore、 Invisible FTP、 WebEx、
WinCrash
port 23 : Tiny Telnet Server
port 25 : Antigen、 Email Password Sender、 Haebu Coceda、 
Shtrilitz、Stealth、 Terminator、 WinPC、 WinSpy
port 31 : Hackers Paradise
port 80 : Executor
port 456 : Hackers Paradise
port 555 : Ini:Killer、 Phase Zero、 Stealth Spy
port 666 : Satanz Backdoor
port 1001 : Silencer、 WebEx
port 1011 : Doly Trojan
port 1170 : Psyber Stream Server、 Voice
port 1234 : Ultors Trojan
port 1245 : VooDoo Doll
port 1492 : FTP99CMP
port 1600 : Shivka:Burka
port 1807 : SpySender
port 1981 : Shockrave
port 1999 : BackDoor
port 2001 : Trojan Cow
port 2023 : Ripper
port 2115 : Bugs
port 2140 : Deep Throat、 The Invasor
port 2801 : Phineas Phucker
port 3024 : WinCrash
port 3129 : Masters Paradise
port 3150 : Deep Throat、 The Invasor
port 3700 : Portal of Doom
port 4092 : WinCrash
port 4590 : ICQTrojan
port 5000 : Sockets de Troie
port 5001 : Sockets de Troie
port 5321 : Firehotcker
port 5400 : Blade Runner
port 5401 : Blade Runner
port 5402 : Blade Runner
port 5569 : Robo:Hack
port 5742 : WinCrash
port 6670 : DeepThroat
port 6771 : DeepThroat
port 6969 : GateCrasher、 Priority
port 7000 : Remote Grab
port 7300 : Netspy
port 7301 : Netspy
port 7306 : Netspy
port 7307 : Netspy
port 7308 : Netspy
port 7789 : ICKiller
port 9872 : Portal of Doom
port 9873 : Portal of Doom
port 9874 : Portal of Doom
port 9875 : Portal of Doom
port 9989 : iNi:Killer
port 10067 : Portal of Doom
port 10167 : Portal of Doom
port 11000 : Senna Spy
port 11223 : Progenic trojan
port 12223 : Hack′99 KeyLogger
port 12345 : GabanBus、 NetBus
port 12346 : GabanBus、 NetBus
port 12361 : Whack:a:mole
port 12362 : Whack:a:mole
port 16969 : Priority
port 20001 : Millennium
port 20034 : NetBus 2 Pro
port 21544 : GirlFriend
port 22222 : Prosiak
port 23456 : Evil FTP、 Ugly FTP
port 26274 : Delta
port 31337 : Back Orifice
port 31338 : Back Orifice、 DeepBO
port 31339 : NetSpy DK
port 31666 : BOWhack
port 33333 : Prosiak
port 34324 : BigGluck、 TN
port 40412 : The Spy
port 40421 : Masters Paradise
port 40422 : Masters Paradise
port 40423 : Masters Paradise
port 40426 : Masters Paradise
port 44445 : Happypig
port 47262 : Delta
port 50505 : Sockets de Troie
port 50766 : Fore
port 53001 : Remote Windows Shutdown
port 61466 : Telecommando
port 65000 : Devil

___________________________________________________________________

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 )|)             ●   |江海客     seak@163.net
\-----/               |之天涯看台 http://seak.163.net(163)
ぺべぺべぺべぺ                    http://personal.yn.cninfo.net/seak(169)           
        问人间沧桑几许；看书生胆气如何
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

※ 来源:·紫 丁 香 bbs.hit.edu.cn·[FROM: 202.97.232.107]