5.2 自定义配置及捆绑木马

对木马的基本知识有一定了解后,接下来就通过实例的操作来向用户展示木马的配置和捆绑操作,自定义配置木马是指利用木马控制端程序来配置木马服务端,然后让其他用户在自己的计算机运行生成木马服务端,而捆绑木马则是将木马服务端与正常程序捆绑在一起,一旦其他用户运行正常程序,被捆绑的木马程序同样被激活。

007Q 如何配置“冰河”木马服务端?

A 利用“冰河”木马控制端程序即可配置“冰河”木马服务端,包括访问口令、监听端口以及动态IP地址的接收邮箱等信息。

在向目标主机植入“冰河”木马程序之前,攻击者一般都会使用控制端程序对服务端程序进行一些配置,包括是否自动删除安装文件、打开的端口号、访问口令以及邮件通知等。

STEP01:单击“配置本地服务器程序”按钮

启动“冰河”木马的控制端程序,单击工具栏中的“配置本地服务器程序”按钮。

STEP02:设置访问口令监听端口

弹出“服务器配置”对话框,1 设置访问口令为123,2 设置监听端口为7627,3 勾选“自动删除安装文件”复选框。

STEP03:设置自我保护

1 切换至“自我保护”选项卡,2 在“键名”文本框中输入注册表键名KERNEL32.EXE。

STEP04:设置邮件通知

1 切换至“邮件通知”选项卡,2 在“SMTP服务器”和“接收信箱”中输入服务器名和邮箱地址,3 单击“确定”按钮。

设置SMTP服务器与接收信箱的作用

无论是目前部分互联网用户仍采用的拨号上网,还是大多数用户采用的动态IP的ADSL宽带上网,其每次拨号后的IP地址都不同,因此要想让一台远程计算机成为自己的长期“肉鸡”,就要牢牢地掌握其IP的变化通常需要设置SMTP服务器和接收信箱。远程计算机用户每次启动计算机时,服务端程序也随之启动,服务端程序可以使用E-mail将该计算机所产生的动态IP地址自动地发送到控制端用户预先设置的邮箱之中。选中“邮件内容”组合框中的几个复选框后,服务端程序将会把该计算机中的这几项信息一起发送到控制端用户的邮箱中,这样不管远程计算机如何更换IP地址、重新启动、更改系统密码,控制端用户总能通过服务端程序了解到这些信息。

STEP05:确定所有配置正确无误

弹出“冰河”对话框,询问用户是否确定所有的配置均正确无误,单击“是”按钮。

STEP06:服务器程序配置完毕

切换至新的界面,此时显示了“服务器程序配置完毕”的信息,单击“确定”按钮。

STEP07:查看生成的服务器程序

打开解压后的“冰河”木马控制端所在文件夹,此时可看见G-Server文件,该文件便是刚刚配置好的服务器程序,接着攻击者就会采用各种方法让Internet中其他计算机中的用户运行该服务器程序。

“冰河”木马的功能

“冰河”木马不仅具有远程控制的功能,而且还具有记录口令、获取系统信息以及注册表操作等功能。

(1)自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步服务端屏幕变化的同时,控制端的一切键盘及鼠标操作将反应在服务端屏幕。

(2)记录各种口令信息,包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息,且在1.2以上的版本中允许用户对该功能自行扩充,2.0以上版本还同时提供了基键记录功能。

(3)获取系统信息,包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

(4)注册表操作,包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。