「冰河」是特洛伊木馬的一種,因此它也具有特洛伊木馬的一切特性。我們將「冰河」解壓後可以得到3個主要文件:客戶端G_client.exe 、服務端G_server.exe和說明文件readme.txt。
「冰河」的服務端G_server一旦運行,它首先會修改啟動組,以便在每次啟動時自動加載。這就是在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和Runservice鍵值中加上了「C:\windows\system\kernel32.exe」 ,然後將HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值由「C :\windows\notepad.exe %1」改為「C:\windows\system\sysexplr.exe %1」,同時在C:\windows\system目錄下生成kernel32.exe 和sysexplr.exe 這兩個文件。如果你對註冊表的各項用途有點了解的話,就會知道第二項是將TXT文件改為用sysexplr.exe打開 ,而這個文件和kernel32.exe可以說是「青梅竹馬」,互通有無。
當你想方設法刪除了kernel32.exe這個文件,怡然自得的時候,它又神出鬼沒地出現了,原因是當你打開TXT文檔時,sysexplr.exe會重新生成kernel32.exe,你將還是在冰河的控制下。同時,kernel32.exe在系統每次關閉時,如果在啟動組中沒有kernel32.exe或是sysexplr.exe被刪除,它自動將其恢復。
「冰河」的服務端一旦加載,它就自動駐留內存,在默認的情況下同時開放7626端口,如果你配置時設置了郵件通知的話,它採用SMTP將本機信息發送到指定郵箱。此時你的計算機的7626端口處於LISTENING狀態,等待與客戶端建立連接。
「冰河」的客戶端可以用「自動搜索」來搜索指定子網內安裝有「冰河」服務端的計算機。首先,它會用ICMP協議探測你的IP是否存在(類似Ping命令),如果探測不到,它將進行下一個IP的探測工作(這就是為甚麼搜索結果列表中IP地址不連續的原因)。如果該IP地址存在,它將掃描它的7626端口是否開放,如果不是開放的,該IP地址在搜索結果列表顯示為error,如果該端口開放,這個IP就會被自動添加到主機列表中,這時,G_client 會向該主機發出連接信號,該主機中駐留內存的kernel32.exe收到數據後立即向客戶端作出響應,在客戶機收到響應的信號後,開放一個隨機端口與主機的木馬端口7626建立連接(這就是為甚麼一個客戶端能控制多個主機的原因),這時一個木馬連接就已經真正建立。
「冰河」的卸載
「冰河」的作者黃鑫在readme.txt中早就說過:冰河1.2正式版以後的各版本都在客戶端提供了徹底的卸載功能。此外還可以通過註冊表清除(具體辦法請見41期《電腦報》)。
「冰河」及其它木馬軟件的防範
首先我想引用一下Microsoft的安全公報對木馬軟件的評價:「該軟件其實要求你先安裝Server端,然後再啟動Client端進行控制,雖然要將它作為特洛伊木馬安裝到欲控制的機器上不算很困難,但畢竟這不是Win95/98的bug,而是利用機器使用者的疏忽而已。」我們暫不說特洛伊木馬是否利用了Windows系統的bug,但是只要我們保持警惕,不讓Server端有機會進入我們的機器,也就不會被控制了,下面是幾點建議:
1.從網上下載軟件時應該注意:儘量選擇一些有名的站點下載,不要去一些小站點。
2.如果上網的話,最好給自己加一個實時監控的殺毒程序,最新的殺毒軟件一般都能查殺木馬,比如我所使用的金山毒霸就能查殺冰河。
3.不要在網上相信一些初認識的人,一些別有用心的人在網上裝作「大蝦」,非常「善意」地幫助人,給你發各種各樣的資料或是軟件,往往在「善意」的背後,是其險惡的面孔,等你中招後就後悔莫及了!還有一些人在網上扮成MM(喜歡同MM聊天的網友可要注意了!),給你發一些東西(最常見的就是偽裝成photo.gif.exe的Server端),當你正在想目睹一下「她」的風采時,嘿嘿……
4.對帶有附件的E-mail,特別是陌生人發給你的E-mail,要保持警惕,這方面相信無需我多說吧!
事物都有兩面性,當我看到好多人將「臭名昭著」等詞語用在「冰河」上時,心裏總覺得不是味道。其實我們不必為「冰河」究竟是一個厲害的黑客工具,還是優秀的遠程管理系統而爭論不休, 實際上這就像討論一把小刀究竟是工具還是凶器一樣,問題的關鍵並不在刀子本身, 而在於使用者用它來做甚麼。
以上純屬個人觀點,如有不當之處,歡迎大家批評指正 (E-mail: bennial@263.net)! (摘自中公網)