百科名片
“網路幽靈(I-Worm.Ghost)”病毒:警惕程度★★★,木馬病毒,通過網路傳播,依賴系統: WIN9X/NT/2000/XP。
定義?
“ (網路幽靈遠程控制軟體I-Worm.Ghost)”病毒:警惕程度★★★,木馬病毒,通過網路傳播,依賴系統: WIN9X/NT/2000/XP。
病毒會將自己拷貝到系統目錄下命名為:Iexplorer.exe,然後在註冊表的自啟動項中添加“Internet Explorer”的病毒鍵值。運行時會每隔一分鐘就連線一次病毒網站,並與病毒作者進行溝通,企圖控制用戶的電腦,給用戶帶來損失
反病毒專家建議?
建立良好的安全習慣,不打開可疑郵件和可疑網站;關閉或刪除系統中不需要的服務;很多病毒利用漏洞傳播,一定要及時給系統打補丁;安裝專業的防毒軟體進行實時監控,平時上網的時候一定要打開防病毒軟體的實時監控功能。
刪除辦法?
啟動360安全衛士,點系統啟動項,在裡面找到Iexplorer.exe,點禁止。病毒自己就不會打開了。
特點
網路幽靈遠程控制軟體是一個專業級的遠程檔案訪問工具,具有以下特點:
1.針對磁碟檔案系統:本軟體針對遠程檔案訪問,而不是遠程控制,力求“專而精”。並高度模枋 Windows 資源管理器,簡單易用,我們的目標是使訪問遠程驅動器就象訪問本地的一樣方便。
2.強大的檔案操作功能:可對本地及遠程驅動器進行:新建檔案、新建資料夾、查找檔案、剪下、複製、貼上(包括:本地檔案操作、上傳、下載、同遠程主機的檔案複製與移動)、本地運行、遠程運行、重命名、刪除、查看、修改驅動器屬性、修改檔案屬性等操作,支持斷點續傳,並且所有操作均支持多選及資料夾操作。
3.運用了“反彈連線埠原理”與“HTTP 隧道技術”:
“反彈連線埠原理”:由服務端主動連線客戶端,因此在網際網路上可以訪問到區域網路里通過 NAT 代理(透明代理)上網的電腦,並且可以穿過防火牆(包括:包過濾型及代理型防火牆)。
“HTTP隧道技術”:
把所有要傳送的數據全部封裝到 HTTP 協定里進行傳送,因此在網際網路上可以訪問到區域網路里通過 HTTP、SOCKS4/5 代理上網的電腦,而且也不會有什麼防火牆會攔截。
所以,本軟體支持所有的上網方式,既“只要能瀏覽網頁的電腦,網路幽靈都能訪問!”。本軟體可以訪問以下上網方式的電腦:撥接、ISDN、ADSL、DDN、Cable Modem、NAT 透明代理、HTTP 的 GET 型代理、HTTP 的 CONNECT 型代理、SOCKS4 代理、SOCKS4A 代理、SOCKS5 代理。
4.先進的服務端上線通知功能:服務端通過 UDP 協定發訊息給客戶端,在“服務端線上列表”里可以看到服務端的主機名、網際網路的IP位址、區域網路的IP位址、地址位置、上線時間、線上時長,所有信息一目了然,實時性高、安全可靠,是 Email 通知方式所不能比的。而且還有運用了“HTTP 隧道技術”的服務端上線通知功能。
5.所有公開的數據均用 RSA 數據加密。
註:軟體使用前,使用者需提供一個主頁空間供它使用,主頁空間申請方法請看 Readme.txt。
軟體原理
概論此類軟體被統稱為遠程控制類軟體(或黑客軟體、木馬軟體),它們均為 C/S 結構
(Client/Server,客戶機/伺服器)。軟體分為客戶端與服務端兩部分,客戶端即為控制
端(由控制者使用),服務端為被控制端(由被控制者使用),依據服務端運行時是否會顯
示明顯的運行標誌(即對方是否知道它運行有服務端),可分為正邪兩派,邪派就是傳說
中的黑客軟體、特洛伊木馬程式,是各大防毒軟體的首要目標。
服務端運行後,會在本機打開一個網路連線埠監聽客戶端的連線(時刻等待著客戶端的連線),連線建立後,客戶端可用這個通道向服務端傳送命令並接收返回數據,即可實現遠程訪問。
本軟體原理a.“反彈連線埠原理”簡介:
如果對方裝有防火牆,客戶端發往服務端的連線首先會被服務端主機上的防火牆攔
截,使服務端程式不能收到連線,軟體不能正常工作。同樣,區域網路內通過代理上網的
電腦,因為是多台共用代理伺服器的IP位址,而本機沒有獨立的網際網路的IP位址(只有
區域網路的IP位址),所以也不能正常使用。就是說傳統型的同類軟體不能訪問裝有防火
牆和在區域網路內部的服務端主機。
但往往是道高一尺、魔高一丈,不知哪位高人分析了防火牆的特性後發現:防火牆
對於連入的連線往往會進行非常嚴格的過濾,但是對於連出的連線卻疏於防範。於是,
與一般的軟體相反,反彈連線埠型軟體的服務端(被控制端)主動連線客戶端(控制端),為
了隱蔽起見,客戶端的監聽連線埠一般開在80(提供HTTP服務的連線埠),這樣,即使用戶使
用連線埠掃描軟體檢查自己的連線埠,發現的也是類似 TCP UserIP:1026 ControllerIP:
80 ESTABLISHED 的情況,稍微疏忽一點你就會以為是自己在瀏覽網頁(防火牆也會這么
認為的)。看到這裡,有人會問:既然不能直接與服務端通信,那如何告訴服務端何時
開始連線自己呢?答案是:通過主頁空間上的檔案實現的,當客戶端想與服務端建立連
接時,它首先登錄到FTP伺服器,寫主頁空間上面的一個檔案,並打開連線埠監聽,等待
服務端的連線,服務端定期用HTTP協定讀取這個檔案的內容,當發現是客戶端讓自己開
始連線時,就主動連線,如此就可完成連線工作。
本軟體用的就是這種“反彈連線埠”原理,可以穿過防火牆,甚至還能訪問區域網路內
部的電腦。據作者所知,在同類軟體中,本軟體是唯一使用這種方法的,祝賀你!你幸
運的選擇了它。
b.“HTTP 隧道技術”簡介:
簡單的來說,就是把所有要傳送的數據全部封裝到 HTTP 協定里進行傳送,就可以
通過 HTTP、SOCKS4/5 代理,而且也不會有什麼防火牆會攔截。
我們都知道其它木馬只能訪問撥接的服務端,而因為網路幽靈使用了“反彈端
口原理”所以它不僅能訪問撥接的服務端,更可以訪問區域網路里通過 NAT 代理(透
明代理)上網的服務端。而使用“HTTP 隧道技術”以後,它甚至可以訪問到區域網路里通
過 HTTP、SOCKS4/5 代理上網的服務端。這樣, 網路幽靈遠程控制軟體就幾乎支持了所有的上網方式
,也就是說“只要能瀏覽網頁的電腦,網路幽靈都能訪問!”。
網路幽靈遠程控制軟體 服務端支持以下上網方式:
撥接
ISDN
ADSL
DDN
Cable Modem
NAT透明代理
HTTP的GET型代理
HTTP的CONNECT型代理
SOCKS4 代理
SOCKS4A 代理
SOCKS5 代理
在上述上網方式下,均可正常工作。
網際網路如此之大,覆蓋全球,我們如何標識並找到上面的任何一台電腦呢?答案是
:IP位址,每台連網電腦都會被分配一個IP位址,這個IP位址是全球唯一的,就象你家
的門牌號碼,別人可以根據這個找到你。同樣,IP位址分配是有規律的,可以根據IP地
址分配表查出相應的地理位置(本軟體內置IP位址分配表)。
現在大多數網際網路用戶是撥接的,撥接的IP位址是由ISP(網際網路接入服務
提供商,例如163、169)動態分配的。兩台電腦想要連線就必須要知道對方的IP位址,
就象想去你家串門就必須知道你的住址。因此,服務端如何把自己的IP位址告訴客戶端
就成了一個大問題,也就是服務端上線通知。
現在最常用的方法是Email通知,即服務端上網後,傳送自己的IP位址到事先指定
的信箱,客戶端使用者只要去收信就行了。這種方面雖然最常用,但有很大不足,首先
Email的實時性得不到保證,時慢時快,這與發信伺服器的線路質量有很大關係。其次
,現在越來越多的發信伺服器設了“發信認證”功能,發信也要信箱的密碼(原來只有
收信才要),這就給服務端發信增加了困難,服務端不帶密碼無法傳送,帶密碼則有可
能被別人破出來。本軟體用的是另一種更先進的方法:UDP通知,客戶端上網後,會將
自己的IP位址寫到主頁空間的指定檔案里,服務端定期讀取這個檔案的內容,就可得到
客戶端的IP位址,並將自己的一些其它信息(主機名、IP位址、上線時間等等)用UDP協
議傳送給客戶端。客戶端接收後,將數據解釋並顯示在“服務端線上列表”里,服務端
情況一目了然。可能有人會擔心:主頁空間上的檔案誰都可以訪問(就象瀏覽網頁),自
己的IP位址會不會讓別人看到?這個問題作者當然已經想到,所有可能被別人看到的數
據(包括主頁空間上的)都已經加密了,就算別人拿到了也沒用。而且數據加密密碼是由
用戶自行設定的,就連軟體作者也無法破解。
網路幽靈還有運用了“HTTP 隧道技術”的服務端上線通知功能,即如果服務端是
通過 HTTP、SOCKS4/5 代理上網的,無法再使用 UDP 上線通知方法,它就會自動使用
“HTTP 隧道技術”的上線通知方法:先用“HTTP 隧道技術”與客戶端建立一條 TCP
連線,以後每分鐘再通過此連線向客戶端傳送上線通知數據。(“HTTP 隧道”主機的圖
標與普通主機不同,圖示前面增加了一個金黃色的小管道)