服务器维护,服务器代维,安全设置,漏洞扫描,入侵检测服务

dirtysea 发表于 2007-2-12 05:48:05

小心被黑!木马生成器碰不得

<TABLE style="TABLE-LAYOUT: fixed; WORD-WRAP: break-word" cellSpacing=0 cellPadding=4 width="97%" align=center>
<TBODY>
<TR>
<TD vAlign=top bgColor=#ffffff colSpan=3><SPAN class=tpc_content>2005年注定是网络游戏盛行的一年,木马这个名词我想各位一定不陌生吧?游戏账号被人偷窃屡见不鲜。很多玩家因为报复的心理也想方设法去偷取其他人的号,于是木马横行,但其实……<BR>  现在,网上有很多盗号木马生成工具,只要设置好E-mail的用户名及该E-mail的密码,就可以盗号了。可你是否知道这个木马是包含后门的?在你用它来帮你盗号的同时,盗取的用户名及密码也都会发送给木马作者一份,而我们就是要利用嗅探工具来得到这个木马作者所用E-mail的用户名及密码。然后,来个“为民除害”。最后希望大家不要使用木马,不然害人的同时还会害己(有些木马还会盗取你的账号及密码)。<BR>  注:本文仅进行技术研究,请勿用于非法活动。 <BR>  下面就以一款针对某网络游戏的木马来做分析,来看看如何得到木马中的一些“隐藏”信息。首先要准备的一些必要的工具:①从<BR><A href="http://www.newhua.com/cfan/200504/x-sniff.zip" target=_blank>http://www.newhua.com/cfan/200504/x-sniff.zip</A><BR>下载我们所需要的嗅探工具,解压后得到xsniff.exe;②一个传奇木马软件,网络上有很多。<BR>  下面就来开始抓获这个木马中的谍中谍。<BR>  第一步:点击“开始→运行”,输入“CMD”(不含引号),打开“命令提示符窗口”。<BR>  第二步:进入嗅探工具所在目录,输入“xsniff.exe -pass -hide -log pass.log”(不含引号),这样局域网里的明文密码(包括本机)都会被记录到pass.log中(见图1)。<BR><IMG &#111nclick="if(this.width>=780) window.open('http://77169.org/Article/UploadFiles/200506/20050618225322433.jpg');" src="http://77169.org/Article/UploadFiles/200506/20050618225322433.jpg" onload="if(this.width>'780')this.width='780';if(this.height>'1680')this.height='1680';" border=0><BR>  第三步:下面打开该网游的木马,输入你的邮箱地址(见图2),点击发送测试邮件的按钮,显示发送成功后,再打开生成的pass.log文件(括号内的文字为注释,并不包含在pass.log文件中):<BR>……<BR><IMG &#111nclick="if(this.width>=780) window.open('http://77169.org/Article/UploadFiles/200506/20050618225322922.jpg');" src="http://77169.org/Article/UploadFiles/200506/20050618225322922.jpg" onload="if(this.width>'780')this.width='780';if(this.height>'1680')this.height='1680';" border=0><BR><BR>TCP <BR>61.187.***.160-&gt;202.102.***.114 Port: 1140-&gt;25<BR>(前面的IP是发信人的IP地址,后面的IP是接收方的IP地址,PORT是指端口)<BR>USER: ZXhlY3V0YW50<BR>(USER是信箱用户名,前面的ZXhlY3V0YW50为加密的数据,后面[]内的为用户ID) <BR>TCP <BR>61.187.***.160-&gt;202.102.***.114 Port: 1140-&gt;25<BR>PASS: YWRtaW5zdXA=<BR>(PASS是邮箱的密码,YWRtaW5zdXA=为加密数据,后面[]内的为密码)<BR>TCP <BR>61.187.***.160-&gt;202.102.***.114 Port: 1140-&gt;25<BR>MAIL FROM: <BR>(类似于发邮件时的信息,指信息发送的目的邮箱)<BR>TCP <BR>61.187.***.160-&gt;202.102.***.114 Port: 1140-&gt;25<BR>RCPT T <BR>(测试信箱的地址)<BR>……<BR>  第四步:现在我们已经知道了这个木马是使用<BR><A HREF="mailto:admin@1234" TARGET=_blank>admin@1234</A><BR>.***邮箱来发信的,用户名是admin,密码是adminsup。于是,进入这个邮箱,删掉那些信吧。<BR>  <BR>  第五步:不要以为这就结束了,木马是狡猾的,很多木马还包含一个隐藏后门。执行刚刚生成的木马服务器端(没有手动清理病毒能力的读者请勿轻易尝试,并对系统进行备份,以便还原)。<BR>  第六步:使用前面的命令,让xsniff开始嗅探,进入该游戏,随便申请一个ID,接着退出,再去看看pass.log文件。<BR>……<BR>TCP <BR>61.187.***.160-&gt;61.135.***.125 Port: 1157-&gt;25<BR>PASS: YWRtaW5zdXA=<BR>TCP <BR>61.187.***.160-&gt;61.135.***.125 Port: 1157-&gt;25<BR>MAIL FROM: <BR>……<BR>  看到了吗?木马终于漏出了狐狸尾巴,用户名为admin,密码为admin,邮箱是为<BR><A HREF="mailto:admin@12345" TARGET=_blank>admin@12345</A><BR>.***,这个邮箱才是作者的后门程序,木马真正的后门。<BR>  第七步:最后,将该邮箱里的盗号邮件清除,然后恢复系统。<BR>  最后:笔者想告诫各位想用木马来盗别人的账号的朋友:害人之心不可有!因为,在加害别人的同时,你自己也正在被伤害……</SPAN><BR></TD></TR>
<TR vAlign=bottom bgColor=#ffffff>
<TD colSpan=3><FONT color=#ffffff></FONT><BR></TD></TR></TBODY></TABLE>

dirtysea 发表于 2006-5-19 17:18:18

re:小心被黑!木马生成器碰不得

<P>输入法漏洞是几年前的事情了哦!这是刚出的,效果非常好!不试不知道,一试吓你一跳!</P>
页: [1]
查看完整版本: 小心被黑!木马生成器碰不得