警惕远程访问木马Nethief 郭俊 2001年 46期 Nethief(也称“网络神偷)木马──堪称远程访问类木马程序极品!之所以这么说,是因为该程序的“穿墙入室”大法和先进的服务端上线通知功能,是目前国内其他木马都没有的。   在对方完全知情并同意的情况下,笔者将服务器端发送给广西某拨号用户,随即打开控制端等候回应。一分钟后,Nethief的IP地址通知器中出现对方主机名、IP地址、地理位置等信息,说明Nethief已经接收到来自远端的上线通知。切换到文件管理器状态,可以看到类似Windows资源管理器的树状列表,其中就有对方的主机名,展开该主机名即看到对方的所有资源,此时可进行文件的上传、下载或更名、删除等操作。   再将服务器发送至山东某局域网用户,同样取得成功。需要说明的是,以上两位用户的机器内都运行有防火墙软件,但仍成为肉机(被黑客控制的机器的俗称)。   从笔者试验可以看出,使用该程序仅需将服务器端发送给别人即可(这和其他木马相同),此外无须费任何力气便可搞定,而传统的木马则必须提供对方IP才可联系,遇到动态分配IP的用户就麻烦点,且十有八九被防火墙阻隔,无计可施。   分析程序原理发现,Nethief没有采用其他同类程序的控制端连接服务端的做法,而是反其道而行,让服务端主动连接控制端。为了隐蔽起见,客户端的监听端口开在80(HTTP服务),这样,即便用户使用端口扫描软件检查自己的端口,也会误以为是在浏览网页,这样连防火墙也难以区分。控制端运行后,会将自己的IP地址写到一个主页空间(预先设定)的指定文件里,服务端定时(间隔60秒)读取这个文件,就可得到客户端的IP地址,并将自己的一些其它信息如主机名、IP地址(软件内置IP地址分配表)、上线时间等等用UDP协议发送给客户端。客户端接收后,将数据解释并显示在“服务端在线列表”里,供控制者使用。出于安全的考虑,所有可能被别人看到的数据(包括主页空间上的)都已经加密了,且密码是由用户自行设置的,他人无法破解。   中了Nethief的肉机注册表被修改,并在启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中生成一个键值,默认值为Internet.exe(可由控制用户任意改名),删除该键值后重启,再到系统目录c:\windows\system中删除服务端程序(默认为Internet.exe)即可彻底清除。如果对注册表不熟悉,可下载一个92KB的专用清除工具,地址为http://wowo.363.net/killnethief.exe。   程序作者称Nethief只是一个远程文件访问程序,而非黑客程序,并立志要将Nethief“做成一个能与商业软件媲美的免费软件”,不可否认这个解压后仅440KB的程序确有不凡之处。但由于Nethief能轻易透过防火墙对文件进行读写操作,又具备上传下载功能,一旦配合恶意程序使用,将产生难以估量的破坏,必须高度警惕。