現(xiàn)在,網(wǎng)上有很多盜號(hào)木馬生成工具,只要設(shè)置好E-mail的用戶名及該E-mail的密碼,就可以盜號(hào)了。可你是否知道這個(gè)木馬是包含后門的?在你用它來幫你盜號(hào)的同時(shí),盜取的用戶名及密碼也都會(huì)發(fā)送給木馬作者一份,而我們就是要利用嗅探工具來得到這個(gè)木馬作者所用E-mail的用戶名及密碼。然后,來個(gè)“為民除害”。最后希望大家不要使用木馬,不然害人的同時(shí)還會(huì)害己(有些木馬還會(huì)盜取你的賬號(hào)及密碼)。
注:本文僅進(jìn)行技術(shù)研究,請(qǐng)勿用于非法活動(dòng)。
下面就以一款針對(duì)某網(wǎng)絡(luò)游戲的木馬來做分析,來看看如何得到木馬中的一些“隱藏”信息。首先要準(zhǔn)備的一些必要的工具:
①從網(wǎng)上下載我們所需要的嗅探工具,解壓后得到xsniff.exe;
②一個(gè)傳奇木馬軟件,網(wǎng)絡(luò)上有很多。
下面就來開始抓獲這個(gè)木馬中的諜中諜。
第一步:點(diǎn)擊“開始→運(yùn)行”,輸入“CMD”(不含引號(hào)),打開“命令提示符窗口”。
第二步:進(jìn)入嗅探工具所在目錄,輸入“xsniff.exe -pass -hide -log pass.log”(不含引號(hào)),這樣局域網(wǎng)里的明文密碼(包括本機(jī))都會(huì)被記錄到pass.log中(見圖1)。
![""]("http://searchsecurity.techtarget.com.cn/imagelist/06/36/84d506avk86i.jpg")
第三步:下面打開該網(wǎng)游的木馬,輸入你的郵箱地址(見圖2),點(diǎn)擊發(fā)送測(cè)試郵件的按鈕,顯示發(fā)送成功后,再打開生成的pass.log文件(括號(hào)內(nèi)的文字為注釋,并不包含在pass.log文件中):
![點(diǎn)擊放大此圖片]("http://searchsecurity.techtarget.com.cn/imagelist/06/36/4rbr7x7j6262.jpg")
……
TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25 (前面的IP是發(fā)信人的IP地址,后面的IP是接收方的IP地址,PORT是指端口)
USER: ZXhlY3V0YW50[admin] (USER是信箱用戶名,前面的ZXhlY3V0YW50為加密的數(shù)據(jù),后面[]內(nèi)的為用戶ID)
TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
PASS: YWRtaW5zdXA=[adminsup] (PASS是郵箱的密碼,YWRtaW5zdXA=為加密數(shù)據(jù),后面[]內(nèi)的為密碼)
TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
MAIL FROM: (類似于發(fā)郵件時(shí)的信息,指信息發(fā)送的目的郵箱)
TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
RCPT T (測(cè)試信箱的地址)
……
第四步:現(xiàn)在我們已經(jīng)知道了這個(gè)木馬是使用
[url=mailto:admin@1234]admin@1234[/url] .***郵箱來發(fā)信的,用戶名是admin,密碼是adminsup。于是,進(jìn)入這個(gè)郵箱,刪掉那些信吧。
第五步:不要以為這就結(jié)束了,木馬是狡猾的,很多木馬還包含一個(gè)隱藏后門。執(zhí)行剛剛生成的木馬服務(wù)器端(沒有手動(dòng)清理病毒能力的讀者請(qǐng)勿輕易嘗試,并對(duì)系統(tǒng)進(jìn)行備份,以便還原)。
第六步:使用前面的命令,讓xsniff開始嗅探,進(jìn)入該游戲,隨便申請(qǐng)一個(gè)ID,接著退出,再去看看pass.log文件。
……
TCP [04/08/04 19:20:39]
61.187.***.160->61.135.***.125 Port: 1157->25
PASS: YWRtaW5zdXA=[admin]
TCP [04/08/04 19:20:40]
61.187.***.160->61.135.***.125 Port: 1157->25
MAIL FROM:
……
看到了嗎?木馬終于漏出了狐貍尾巴,用戶名為admin,密碼為admin,郵箱是為
[url=mailto:admin@12345]admin@12345[/url]
.***,這個(gè)郵箱才是作者的后門程序,木馬真正的后門。
第七步:最后,將該郵箱里的盜號(hào)郵件清除,然后恢復(fù)系統(tǒng)。
最后:筆者想告誡各位想用木馬來盜別人的賬號(hào)的朋友:害人之心不可有!因?yàn)椋诩雍e人的同時(shí),你自己也正在被傷害……
