爱就爱了

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 6936|回复: 0

蓝色火焰测试记

[复制链接]
发表于 2016-3-28 22:30:09 | 显示全部楼层 |阅读模式
蓝色火焰测试记

2002年1月13日,22:00:24

    蓝色火焰是最近兴起的一个木马,说什么没有客户端,无着胜有着,但依我看来也不过尔尔....
    起先是朋友的网吧服务器被感染上这厮,让我认识了它,并且成功的清除掉,然后号召我的朋友(我自己懒得找^_^)帮我找到蓝色火焰最新版本,开始以身试法....下面就是我对他的测试报告。
计算机配置:P200MMX/256MRAM/MVP3/20GHDD
操作系统:WindowsNT 4.0 Server + IIS 4.0 + ActivePerl + Serv-U FTP 3.0 + 自制MAIL服务器
病毒防火墙:KILL98 for NT 试用版(谁有正版赞助我一套^_^)
测试开始。首先将得到的木马压缩包释放,得到的是说明和木马配置器,但KILL防火墙立即报警。本着对各位看官负责的精神,本人使用HEX编辑器将此文件打开,凭经验发现是用UPX压缩过的,暂时关闭KILL,使用 UPX -D指令将其解压缩,打开KILL,已经不能查到此文件为木马。打开配置器,里面有一些选项 TELNET PORT、HTTP PORT、FTP PORT,以及密码。按默认值,输入了密码“12345”,生成服务端,已经开着的KILL延迟了几秒马上报警,发现蓝色火焰 0.5 服务器端,至此证明其在安装了KILL的系统中是无法展示其的“英勇神武”的。接下来,按照本人的习惯将此文件用HEX编辑器打开观察发现又是UPX压缩过的,按老办法解压缩,得...KILL又认不出来了...双击运行,一阵读写硬盘声后没任何动静...嘿嘿...我中招了^_^,不过呢
,开着的KILL马上报告,发现 C:\WINNT\SYSTEM32\BFHOOK.DLL 是那厮,不管他,暂且终止防火墙看看这东西有什么本事!
    在 开始—运行 中输入 telnet 127.0.0.1 19191 ,登录界面出来了,要求输入密码,输入我设置的密码12345,进去了,看看...输入help,显示了一长串命令,基本上是些无聊的整人命令什么锁鼠标、关屏幕、隐藏桌面之类的,要是你上网时忽然黑屏什么的还要考虑这家伙捣鬼哦!:)其中有个LIST命令可以列举进程,这个命令我在朋友网吧测试时试过,可以使用,但在我的NT下LIST输入后就是敲不下去回车,没作用。那么和他相关的“KILL”命令(关进程)也同时失去作用了。其他命令也就不一一说明,因为不是教使用木马的,关键是清除。
   经过我的查找,此木马在系统中做了如下动作:
1、在9x/Me中是Windows\system,NT/2000下是winnt\system32中生成tasksvc.exe。
2、在同样的目录中生成sysexpl.exe。
3、在同样的目录中生成bfhook.dll。
4、把注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command值修改为:9x/Me为 c:\windows\System\sysexpl.exe "%1";NT/2000为C:\WINNT\System32\sysexpl.exe "%1"
5、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加Network Services键,值为:9x/Me是:C:\Windows\System\tasksvc.exe;NT/2000是:C:\WINNT\System32\tasksvc.exe
下面开始清除这家伙。
蓝色火焰听说有专用清除器,但我没见过,而且可不想没赶走蓝色火焰再请进来个紫色火焰(怕清除器本身就是木马)^_^,所以还是自己动手....^_^
这个木马在各个版本的操作系统中感染机理大抵相同,但也有些许不同,所以有些地方要分开说明。
在Windows9x下,这个东西不是很好清除,因为按Ctrl+Alt+Del不能显示进程,但是解铃还需系铃人,我们就让它自己清除自己!首先你要看你感染的是哪个版本的蓝色火焰,如果是0.5版以前的不包括0.5版,那么好办的很,直接 开始—运行,输入 telnet 127.0.0.1 19191,然后list,看看列出的进程中有个
tasksvc.exe   FD23DA
这样的东西,然后输入KILL FD23DA(注意这个标志是不同的这个只是例子,你的是什么就输入什么),回车,好,木马进程被杀了,然后是料理后事(哎呀别打我^_^),开始—查找—文件或文件夹,输入文件名“sysexpl.exe;tasksvc.exe;bfhook.dll”(查找中可以用;号隔开查找两个文件)查找,找到这三个文件,删掉它们,如果bfhook.dll删不掉,先删掉另外两个,暂时不要管bfhook.dll,清完病毒重启动后再删掉就好了,即使不删它也没什么影响,但有可能造成某些病毒防火墙误报。然后在开始—运行里输入:regedit,打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,把其中的Network Services删掉。接着打开HKEY_CLASSES_ROOT\txtfile\shell\open\command,把其中的默认值改为C:\WINNT\notepad.exe "%1",至此低版本的蓝色火焰就开完遗体告别会了^_^,在NT下更简单,直接Ctrl+Alt+Del,使用任务管理器中的进程栏,选tasksvc.exe,把他终止掉,然后就可以按“料理后事”处收拾了,前面的步骤可以省略。接着是清理高版本的蓝色火焰,高版本(0.5以上)的蓝色火焰可以设置密码,如果没设置密码,在9x/Me下也好清除,和低版本的一样办法,但加了密码的就不好办了,你需要先做:在开始—运行里输入:regedit,打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,把其中的Network Services删掉。接着打开HKEY_CLASSES_ROOT\txtfile\shell\open\command,把其中的默认值改为C:\WINNT\notepad.exe "%1",然后在开始—查找—文件或文件夹,输入文件名“sysexpl.exe;tasksvc.exe;bfhook.dll”查找,把这三个文件找到,试着挨个删除,依我的经验能删除的恐怕只有sysexpl.exe这一个,然后立即重启动计算机,再查找另外两个文件,删除掉,木马也就清除了。在NT/2000下则简单的多,不管是哪个版本的蓝色火焰,都可以按上面所说用任务管理器终止进程然后常规清除。
    这里只是说了蓝色火焰的清除办法,其它种类的木马,工作机理大抵如此,只是在run键下写的运行项目、保护关联的文件名不同之类罢了,却也不足道。
    关于对蓝色火焰的测试也就到此结束,如果有新的木马,你可以联系我(pino@371.netRobots@371.net),我会对他做出分析测试并给你尽快给你一个答复的,但由于个人精力有限,建议你在发给我木马样本的同时也给某个杀毒软件厂商一个副本,因为他们是专业的,自然更有经验。
    另外要声明的是,此篇文章的目的在于引导那些对计算机不是太熟悉,但也对计算机有一些了解的人来清除木马,或想了解蓝色火焰工作原理的人了解一下,绝无对蓝色火焰作者的任何偏见,蓝色火焰如果正确利用,也不失为一个好的远程监控工具,只是其带的密码监视功能、键盘监视功能有些让人生疑...^_^

版权 (C) 天狼晓月 2000-2003,平龙认工作室

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|平龙认个人分站 - 爱就爱了 ( 豫ICP备14029057号-2、4、5 )
豫公网安备 41010502002156号

GMT+8, 2024-12-22 13:58 , Processed in 0.040805 second(s), 19 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表