蓝色火焰测试记

天狼晓月

蓝色火焰测试记

2002年1月13日，22:00:24

    蓝色火焰是最近兴起的一个木马，说什么没有客户端，无着胜有着，但依我看来也不过尔尔....
    起先是朋友的网吧服务器被感染上这厮，让我认识了它，并且成功的清除掉，然后号召我的朋友（我自己懒得找^_^）帮我找到蓝色火焰最新版本，开始以身试法....下面就是我对他的测试报告。
计算机配置：P200MMX/256MRAM/MVP3/20GHDD
操作系统：WindowsNT 4.0 Server + IIS 4.0 + ActivePerl + Serv-U FTP 3.0 + 自制MAIL服务器
病毒防火墙：KILL98 for NT 试用版（谁有正版赞助我一套^_^）
测试开始。首先将得到的木马压缩包释放，得到的是说明和木马配置器，但KILL防火墙立即报警。本着对各位看官负责的精神，本人使用HEX编辑器将此文件打开，凭经验发现是用UPX压缩过的，暂时关闭KILL，使用 UPX -D指令将其解压缩，打开KILL，已经不能查到此文件为木马。打开配置器，里面有一些选项 TELNET PORT、HTTP PORT、FTP PORT，以及密码。按默认值，输入了密码“12345”，生成服务端，已经开着的KILL延迟了几秒马上报警，发现蓝色火焰 0.5 服务器端，至此证明其在安装了KILL的系统中是无法展示其的“英勇神武”的。接下来，按照本人的习惯将此文件用HEX编辑器打开观察发现又是UPX压缩过的，按老办法解压缩，得...KILL又认不出来了...双击运行，一阵读写硬盘声后没任何动静...嘿嘿...我中招了^_^，不过呢
，开着的KILL马上报告，发现 C:\WINNT\SYSTEM32\BFHOOK.DLL 是那厮，不管他，暂且终止防火墙看看这东西有什么本事！
    在 开始—运行 中输入 telnet 127.0.0.1 19191 ，登录界面出来了，要求输入密码，输入我设置的密码12345，进去了，看看...输入help，显示了一长串命令，基本上是些无聊的整人命令什么锁鼠标、关屏幕、隐藏桌面之类的，要是你上网时忽然黑屏什么的还要考虑这家伙捣鬼哦！：）其中有个LIST命令可以列举进程，这个命令我在朋友网吧测试时试过，可以使用，但在我的NT下LIST输入后就是敲不下去回车，没作用。那么和他相关的“KILL”命令（关进程）也同时失去作用了。其他命令也就不一一说明，因为不是教使用木马的，关键是清除。
   经过我的查找，此木马在系统中做了如下动作：
1、在9x/Me中是Windows\system,NT/2000下是winnt\system32中生成tasksvc.exe。
2、在同样的目录中生成sysexpl.exe。
3、在同样的目录中生成bfhook.dll。
4、把注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command值修改为：9x/Me为 c:\windows\System\sysexpl.exe "%1";NT/2000为C:\WINNT\System32\sysexpl.exe "%1"
5、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加Network Services键，值为：9x/Me是：C:\Windows\System\tasksvc.exe；NT/2000是：C:\WINNT\System32\tasksvc.exe
下面开始清除这家伙。
蓝色火焰听说有专用清除器，但我没见过，而且可不想没赶走蓝色火焰再请进来个紫色火焰（怕清除器本身就是木马）^_^，所以还是自己动手....^_^
这个木马在各个版本的操作系统中感染机理大抵相同，但也有些许不同，所以有些地方要分开说明。
在Windows9x下，这个东西不是很好清除，因为按Ctrl+Alt+Del不能显示进程，但是解铃还需系铃人，我们就让它自己清除自己！首先你要看你感染的是哪个版本的蓝色火焰，如果是0.5版以前的不包括0.5版，那么好办的很，直接 开始—运行，输入 telnet 127.0.0.1 19191，然后list，看看列出的进程中有个
tasksvc.exe   FD23DA
这样的东西，然后输入KILL FD23DA（注意这个标志是不同的这个只是例子，你的是什么就输入什么），回车，好，木马进程被杀了，然后是料理后事（哎呀别打我^_^），开始—查找—文件或文件夹，输入文件名“sysexpl.exe;tasksvc.exe;bfhook.dll”（查找中可以用;号隔开查找两个文件）查找，找到这三个文件，删掉它们，如果bfhook.dll删不掉，先删掉另外两个，暂时不要管bfhook.dll，清完病毒重启动后再删掉就好了，即使不删它也没什么影响，但有可能造成某些病毒防火墙误报。然后在开始—运行里输入：regedit，打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，把其中的Network Services删掉。接着打开HKEY_CLASSES_ROOT\txtfile\shell\open\command，把其中的默认值改为C:\WINNT\notepad.exe "%1"，至此低版本的蓝色火焰就开完遗体告别会了^_^，在NT下更简单，直接Ctrl+Alt+Del，使用任务管理器中的进程栏，选tasksvc.exe，把他终止掉，然后就可以按“料理后事”处收拾了，前面的步骤可以省略。接着是清理高版本的蓝色火焰，高版本（0.5以上）的蓝色火焰可以设置密码，如果没设置密码，在9x/Me下也好清除，和低版本的一样办法，但加了密码的就不好办了，你需要先做：在开始—运行里输入：regedit，打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，把其中的Network Services删掉。接着打开HKEY_CLASSES_ROOT\txtfile\shell\open\command，把其中的默认值改为C:\WINNT\notepad.exe "%1"，然后在开始—查找—文件或文件夹，输入文件名“sysexpl.exe;tasksvc.exe;bfhook.dll”查找，把这三个文件找到，试着挨个删除，依我的经验能删除的恐怕只有sysexpl.exe这一个，然后立即重启动计算机，再查找另外两个文件，删除掉，木马也就清除了。在NT/2000下则简单的多，不管是哪个版本的蓝色火焰，都可以按上面所说用任务管理器终止进程然后常规清除。
    这里只是说了蓝色火焰的清除办法，其它种类的木马，工作机理大抵如此，只是在run键下写的运行项目、保护关联的文件名不同之类罢了，却也不足道。
    关于对蓝色火焰的测试也就到此结束，如果有新的木马，你可以联系我（pino@371.net 或 Robots@371.net），我会对他做出分析测试并给你尽快给你一个答复的，但由于个人精力有限，建议你在发给我木马样本的同时也给某个杀毒软件厂商一个副本，因为他们是专业的，自然更有经验。
    另外要声明的是，此篇文章的目的在于引导那些对计算机不是太熟悉，但也对计算机有一些了解的人来清除木马，或想了解蓝色火焰工作原理的人了解一下，绝无对蓝色火焰作者的任何偏见，蓝色火焰如果正确利用，也不失为一个好的远程监控工具，只是其带的密码监视功能、键盘监视功能有些让人生疑...^_^

版权 (C) 天狼晓月 2000-2003，平龙认工作室