偶尔得到了一款灰鸽子2.02 VIP版,试用了半天竟然控制了20多台肉鸡,看着这些肉鸡任由宰割,笔者异常兴奋,不仅由衷地感叹道——这个马儿太厉害!
一、厉害之处
⒈马儿健壮
主流的杀毒软件竟然无法查杀灰鸽子。笔者使用的是国内某知名杀毒软件的最新版,不论是灰鸽子的服务端程序还是客户端程序,这个杀毒软件均不报警。用灰鸽子的屏幕捕获功能发现,被控制的20多台肉鸡绝大多数都运行着杀毒软件,这些杀毒软件基本上囊括了国内以及国际上主流的杀毒软件。笔者给一个被控制的肉鸡发了一个文本消息,吓得他用杀毒软件和包括木马克星在内的各种杀马软件扫描电脑,然而遗憾的是,直到现在笔者还用灰鸽子控制着他。
⒉端口反弹,天网防火墙形同虚设
笔者的电脑上安装了最新版本的天网防火墙,在玩灰鸽子的过程中,一不小心,笔者在自己的电脑上运行了灰鸽子的服务端程序,然而,天网防火墙却没有任何报警。
天网防火墙对本地应用程序访问网络的请求管理的不是太严格,而且对已信任的程序访问网络的连接不做任何报警。灰鸽子是一款反弹端口的木马,和传统的木马不一样的是它不监听一个端口等待客户端来连接自己,而是自己以IE浏览器的身份主动去连接客户端,而IE浏览器是天网防火墙默认的已信任程序,所以灰鸽子能够轻易“穿透”天网防火墙。因为灰鸽子是以IE浏览器的身份去访问网络的,而任何防火墙都不会限制IE浏览器浏览网页,所以从理论上来讲,灰鸽子能“穿透”任何防火墙,这一点,鄙人通过已控制的20多台肉鸡得到了证实。
端口反弹木马的工作原理:在传输层,和传统的木马恰恰相反,被控端(服务端)执行客户端的命令,但它不监听一个端口,而是主动去连接客户端;客户端给服务端下达命令,但它不主动去连接服务端,而是开一个端口监听服务端的连接。
⒊反向连接,被控制电脑“自动上线”
灰鸽子是反向连接的木马,也就是说,被控制电脑会主动连接控制端电脑。冰河、BO 2000这些传统的木马要连接被控端电脑必须告知客户端被控电脑的IP地址和端口等信息,而灰鸽子则不同,灰鸽子的客户端启动后,被控制电脑会争先连接到客户端,灰鸽子使用了语音提示的功能,当一台被控制的电脑连接到客户端后,一个标准的女中音会提示:有主机上线,请注意!听着这一声声提示,看着被控制的电脑自动地纷纷出现在“自动上线的主机”列表中(如图1),笔者在想:马儿实在是太可怕了!