跨越平台的木马——蓝色火焰

赵俊杰 
2001年 47期

　　软件版本：0.50
　　　　软件大小：236KB
　　　　运行环境：Win9x/WinME/WinNT/Win2000
　　　　Bluefire蓝色火焰　是国内新出现的一种木马，由于比较新，所以暂时还没有多少杀毒软件可以查杀。蓝色火焰是一个没有客户端的木马，它利用服务端在远程机上打开FTP、Telnet、HTTP等端口或其中之一来接收信号。由于没有客户端，正所谓无招胜有招，因此，几乎任何和网络有关的程序都可以用来控制它，如Telnet、Sterm、Cterm、CutFtp、Internet Exploer、Netscape、Opera，甚至Zmud等等。正因为没有客户端，Bluefire还可以实现跨平台控制，可以登录上Unix、Linux主机，甚至某台路由器，用Telnet、FTP命令对其进行管理。据木马的Readme介绍，连Mac os X也可以成为客户端控制平台，这在国内是独一无二的。
　　　　另外，蓝色火焰通过一些好的控制工具可以实现用Socket代理控制，更好的隐蔽了自己的IP，通过IE等浏览器还可以实现用HTTP代理控制服务器。
　　　　现在我来介绍一下蓝色火焰的基本功能。
　　#1　　服务器端的生成
　　　　服务器端程序由一个配置器生成，这也是Bluefire的一大特点。配置器可以为远程控制增加密码保护，可以自行配置端口，这样可以避免在Winnt下和其原有的HTTP、FTP服务等冲突。该木马作者好像跟天网防火墙有仇，专门增设了对天网防火墙的处理，使用者可以自行选择是否关闭天网防火墙。所有的配置选定后，在最下面的窗口输入生成的文件名，按确定，你所定制的蓝色火焰服务器端就好了。然后将这个文件在目标机上一运行就行了。这时将本程序删除了也不要紧，如^47040801a^1。
　　#1　　远程控制
　　　　由于早期的Bliefire版本都只是基于Telnet控制，故Telnet方式的功能最全面。我将对Telnet方式控制作主要介绍。
　　　　打开Windows的“开始菜单→运行”，然后输入“telnet xxx.xxx.xxx.xxx ppppp”，这里xxx.xxx.xxx.xxx是你控制那台机器的IP地址。端口ppppp是你所设置的端口，如果连上后你就会看到如^47040801b^2所示的画面，这时你可输入密码，如果密码正确，你可以看到Bluefire（提示符），然后就可以输入命令了。如果键入“help”你还可以看到命令的清单。
　　#1　　蓝色火焰0.4以上版本的特色功能
　　　　这一功能充满着幻想，用虚拟Web页的形式实现了用浏览器（IE、Netscape、Opera等）查看系统信息，查看（清空）捕获的密码，查看（清空）纪录的键盘，捕获屏幕，进程管理（列出/杀死进程），关闭计算机等功能。相当于由一般的TCP/IP协议控制的木马转变成用HTTP协议控制的超级木马，可以绕过一些防火墙。如果控制成功，IE会显示如^47040801c^3所示的画面。
　　#1　　查杀手段
　　　　如何知道自己中了Bluefire呢？以下是一些检测手段。
　　　　1.在MS-DOS提示符下输入“netstat -a -n”，如果出现了不正常的端口，例如“19191”等，则说明机器可能被感染了。
　　　　2.查看Windows的System32目录，如果出现了tasksvc.exe和sysexpl.exe两个文件，则证明机器已经被人装上Bluefire了。
　　　　Bluefire是一个很难手工清除的木马软件，可以从http://freehost22.websamba.com/vinsa/soft/bfcleaner.zip下载到这个木马的清除器，如果被感染，赶快下载一个吧！
　　
　　 
 