剖析《网络神偷》

网络与通信

陈雷

《网络神偷》到底是什么样的黑客软件？笔者经过测试，现解答如下，供大家参考。
原理：《网络神偷》与其他木马一样，采用的是C/S(客户机/服务器)结构。客户端为控制端，服务端为被控制端。
以往的木马，客户端要想连接服务端必须具备两个条件：一是服务端运行后，在本机打开一个端口，被动等待客户端连接；二是客户端必须知道服务端的IP，然后由客户端主动与服务端相连接，达到访问控制的目的。这种连接的方法存在两点不足：一是客户端主动与服务端连接，容易受到防火墙的检测和拦截；二是服务端的IP不易获得。
《网络神偷》恰恰克服了以上两点不足，它的连接方法巧妙而隐蔽，采用被称为“反弹端口”的原理，这种连接方式用主页做“中间人”，让服务端主动与客户端连接，巧妙地利用了防火墙严进宽出的弱点，躲过拦截，使服务端完全暴露在入侵者面前。
流程：客户端启动后，首先登录作者主页的服务器，将自己的IP等信息写入主页空间中的Nethief_Notify.*、Nethief_Client.*两个文件(*代表扩展名为任意)，并打开端口监听，等待服务端连接，服务端则定期读取文件的内容，获得客户端的IP后，就主动将自己的一些信息(主机名、互联网IP地址、局域网IP地址、地理位置、上线时间等)发送给客户端，客户端接收后就可与服务端连接，此时主页空间会生成表示连接成功的Nethief_Connet.*文件，整个过程采用了RSA加密技术，因此更具隐蔽性。
危害：《网络神偷》最大的危害是对服务端的危害，这里的服务端不仅指网络终端，还包括局域网内的终端，这是《网络神偷》与以往木马入侵对象的最大不同。被它成功入侵，将没有了一点隐私和秘密可言。它能轻易将资料窃取、密码盗走、数据删除、系统崩溃。如果再与其他破坏工具(如冰河、硬盘毁灭者、QQ盗码器)相结合，就会造成巨大的损失。对客户端表面上没有危害，但当客户端登录FTP服务器写文件时，你能保证它不会将你的信息发往别处吗？
防范：关键要从“中间人”入手，只要切断客户端与服务端的连接，《网络神偷》的威胁也就荡然无存。这要求提供主页空间的服务商，加强对主页空间服务器的管理与检查，对访问量异常突增现象引起警觉，对Nethief*.*的文件要坚决清除。
已经中了《网络神偷》的服务端，推荐大家用升过级的杀毒软件进行查杀，也可手工查杀，利用注册表中的查找功能，逐项检查注册表中所有键值表示的文件，服务端默认的键值是“Internet Explorer”，所表示的文件是“IExplorer.exe”，大小在89~90KB之间，存放在Windows\System下，同时HKey_ Local_Machine\Software\Microsoft\Windows\Cur rentVersion\Run]键值要特别注意。