跨越平台的木马——蓝色火焰

Author: 赵俊杰 Date: 2001年 47期

?牐犎砑姹荆?0.50
  ?牐犎砑笮。?236KB
  ?牐犜诵谢肪常篧in9x/WinME/WinNT/Win2000
  ?牐燘luefire?熇渡鹧妫犑枪谛鲁鱿值囊恢帜韭恚捎诒冉闲拢栽菔被姑挥卸嗌偕倍救砑梢圆樯薄@渡鹧媸且桓雒挥锌突Ф说哪韭恚梅穸嗽谠冻袒洗蚩狥TP、Telnet、HTTP等端口或其中之一来接收信号。由于没有客户端,正所谓无招胜有招,因此,几乎任何和网络有关的程序都可以用来控制它,如Telnet、Sterm、Cterm、CutFtp、Internet Exploer、Netscape、Opera,甚至Zmud等等。正因为没有客户端,Bluefire还可以实现跨平台控制,可以登录上Unix、Linux主机,甚至某台路由器,用Telnet、FTP命令对其进行管理。据木马的Readme介绍,连Mac os X也可以成为客户端控制平台,这在国内是独一无二的。
  ?牐犃硗猓渡鹧嫱ü恍┖玫目刂乒ぞ呖梢允迪钟肧ocket代理控制,更好的隐蔽了自己的IP,通过IE等浏览器还可以实现用HTTP代理控制服务器。
  ?牐犗衷谖依唇樯芤幌吕渡鹧娴幕竟δ堋?
  #1?牐牱衿鞫说纳?
  ?牐牱衿鞫顺绦蛴梢桓雠渲闷魃桑庖彩荁luefire的一大特点。配置器可以为远程控制增加密码保护,可以自行配置端口,这样可以避免在Winnt下和其原有的HTTP、FTP服务等冲突。该木马作者好像跟天网防火墙有仇,专门增设了对天网防火墙的处理,使用者可以自行选择是否关闭天网防火墙。所有的配置选定后,在最下面的窗口输入生成的文件名,按确定,你所定制的蓝色火焰服务器端就好了。然后将这个文件在目标机上一运行就行了。这时将本程序删除了也不要紧,如^47040801a^1。
  #1?牐犜冻炭刂?
  ?牐犛捎谠缙诘腂liefire版本都只是基于Telnet控制,故Telnet方式的功能最全面。我将对Telnet方式控制作主要介绍。
  ?牐牬蚩猈indows的“开始菜单→运行”,然后输入“telnet xxx.xxx.xxx.xxx ppppp”,这里xxx.xxx.xxx.xxx是你控制那台机器的IP地址。端口ppppp是你所设置的端口,如果连上后你就会看到如^47040801b^2所示的画面,这时你可输入密码,如果密码正确,你可以看到Bluefire(提示符),然后就可以输入命令了。如果键入“help”你还可以看到命令的清单。
  #1?牐犂渡鹧?0.4以上版本的特色功能
  ?牐犝庖还δ艹渎呕孟耄眯槟釽eb页的形式实现了用浏览器(IE、Netscape、Opera等)查看系统信息,查看(清空)捕获的密码,查看(清空)纪录的键盘,捕获屏幕,进程管理(列出/杀死进程),关闭计算机等功能。相当于由一般的TCP/IP协议控制的木马转变成用HTTP协议控制的超级木马,可以绕过一些防火墙。如果控制成功,IE会显示如^47040801c^3所示的画面。
  #1?牐牪樯笔侄?
  ?牐犎绾沃雷约褐辛薆luefire呢?以下是一些检测手段。
  ?牐?1.在MS-DOS提示符下输入“netstat -a -n”,如果出现了不正常的端口,例如“19191”等,则说明机器可能被感染了。
  ?牐?2.查看Windows的System32目录,如果出现了tasksvc.exe和sysexpl.exe两个文件,则证明机器已经被人装上Bluefire了。
  ?牐燘luefire是一个很难手工清除的木马软件,可以从http://freehost22.websamba.com/vinsa/soft/bfcleaner.zip下载到这个木马的清除器,如果被感染,赶快下载一个吧!