“广外女生”木马的问题

kamenann

广外女生”这个病毒已经出现近两个月了，虽然它所采用的技术并不高明，甚至就作为一个木马而言，它的功能也太弱；然而顶着“专门针对金山毒霸和天网防火墙，使之不能运行”这样的帽子，竟然也闯出了不大不小的名头。  
下面我们先来看看“她”所宣称的功能：  

   广外女生是广东外语外贸大学"广外女生"网络小组的处女作，作为一个远程控制软件它可以运行于WIN98，WIN98SE，WINME，WINNT，WIN2000或已经安装Winsock2.0的Win95/97上。  

   它的基本功能有：文件管理方面有上传，下载，删除，改名，设置属性，建立文件夹和运行指定文件等功能；注册表操作方面：全面模拟WINDOWS的注册表编辑器，让远程注册表编辑工作有如在本机上操作一样方便；屏幕控制方面：可以自定义图片的质量来减少传输的时间，在局域网或高网速的地方还可以全屏操作对方的鼠标（包括单击，双击，右键，拖动等）；其他功能还有远程任务管理、邮件IP通知、邮件服务等。  

    广外女生与其他同类软件相比，其主要特点是：  
    服务端程序体积小，大家熟悉的“冰河”是260多KB，而广外女生只有96KB！！ 服务端占用系统资源少，最多时只占用3M的内存，不会影响服务端计算机的速度。  
    隐蔽性好，不容易被发现。 能利用WINDOWS的漏洞使中国国内流行的“天网防火墙”和“金山毒霸”失去作用。（不信试试看：））  
    注册表编辑及任务管理界面直观，易于操作。  
     
    仔细看看就可以看出来，实际上“她”所具有的功能和国产的优秀木马“冰河”相比实际上只多了以下两样：  
    1．远程注册表操作；  
    2．可以关闭一些网络安全防护软件  
    不过就凭这些，再加上“她”那令人羡慕的96K“玲珑身材”，似乎是一个后门软件不错的选择。然而实际上，“她”作为一个木马，首先是扫描速度太慢了；然后控制的连接时序掌握不好，所以数据传输即便是在宽带的时候也会迟滞；至于“她”的屏幕控制，无论是画面质量还是控制的敏感度都无法与“冰河”相比。可能还算有用的功能就是关闭他人的计算机了，我想这个倒还是挺好玩的^_^。  

    下面要讨论一个比较敏感的问题：关闭网络安全防护软件。看看“她”的说明书是这样写的：“能利用WINDOWS的漏洞使中国国内流行的‘天网防火墙’和‘金山毒霸’失去作用”。那么那个所谓的“WINDOWS的漏洞”是什么呢？^_^，就是在WINDOWS操作系统中，由于WINDOWS操作系统对在其上运行的进程的严格控制（这一点在WIN 9X系统中表现得还不太明显，但是在WIN NT和WIN 2000中就很明显了。简单的表现是在当按下CTRL+ALT+DEL键的时候，WIN 9X的系统进程你是无法见到的，而NT或2000中你却可以一览无遗）。当系统本身发出停止进程的指令的时候，那些进程就不得不关闭了。这个道理其实很简单，就是相当于你呼叫出任务管理器，然后用“结束进程”命令结束掉你所选定的进程。利用这种方式，只要愿意，基本上所有的商业软件都逃不过被“杀”的厄运。  

    至于“广外女生”木马为什么要这么做呢？^_^谁知道，不过要说的一点就是：此地无银三百两。本来木马的天性即是要潜伏，而“她”的做法刚好相反。如果用户发现进程被不明不白的关闭了，那还不是暴露了机器里藏着木马么？真不明白为什么“她”要这么做；如果真要做好一个木马程序那是绝对不会这样做的，难道是为了“扬名立万”不成？  

    其实这个木马如果继续用心写下去，不要只是想着旁门左道，那么还是有机会成为优秀的远程控制程序的。当然这个是安全防护专题，我们就不做这些评论了。  

    对于“她”的清除方法，目前应该有不少的文章论述了。以下是我自己检查到的数据，并附上手工清除方法：  

※ 每 5 分钟循环检测一次天网是否打开，若有的话就用进程kill  

※ 天网进程被 kill 后可以重新运行  

※ 感染后程序驻留文件为：C:\\WINDOWS\\SYSTEM\\DIAGCFG.EXE  

※ 通讯使用 TCP 协议 6267 端口  

※ 改动的文件和注册表：  
HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command  

HKEY_LOCAL_MACHINE\\Software\\CLASSES\\exefile\\shell\\open\\command  

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices  


※手工清除方法：  

1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它；  

2、由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器"Regedit.exe"，将它改名为"Regedit.com"；  
   
3、回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）；  

4、找到HKEY_CLASSES_ROOT\\exefile\\sh*ll \\open\\command，将其默认键值改成"%1" %*"；  
5、找到HKEY_LOCAL_MACHINE \\SOFTWARE \\Microsoft \\Windows \\CurrentVersion\\ RunServices，删除其中名称为"Diagnostic Configuration"的键值；  
6、关掉注册表编辑器，回到Windows目录，将"Regedit.com"改回"Regedit.exe"。  
7、完成。  

稻草猪

很好用啊，就是我远程控制时速度太慢了，而且总是断线！