恶性程序“网络神偷”再现

来源：enet 作者：eNet学院摘编出处：巧巧读书 2005-12-09 进入讨论组

访问地址 http://www.qqread.com/virus/a312154207.html
　　"网络神偷"实质是一个远程文件访问工具。曾经它名满江湖，对国内著名的门户网站造成过很大的伤害。"网络神偷DOUBLE_Q UOTATION最新版本可对本地及远程驱动器进行包括文件删除、复制、移动、修改在内的各种操作，而且可以任意修改驱动器属性、修改文件属性。

与一般的远程控制黑客程序不同，它利用"反弹端口"原理控制服务端(被控制端)主动连接客户端(控制端)，当发现客户端让自己开始连接时，就主动连接。这样，控制端就可以穿过防火墙，甚至还能访问控制局域网内部的电脑。

　　谓之"网络神偷"是因为它具有极高的隐蔽性，比以前我们熟知的"冰河"要隐蔽得多。它在端口设置、数据的收发等方面都针对反病毒软件采取了特殊的机制，比如：把监听端口设在常见的服务端口上、通过第三方个人主页来收发数据等。SexGirl.exe是捆绑了"网络神偷1.7版"服务端的程序。有人将SexGirl.exe用电子邮件群发。这使不少人中招。

　　“网络神偷”最新版，使用多种技术穿透防火墙，能控制局域网内的系统，加大受害面积。可以把所有数据封装成HTTP数据，这样可以骗过网络防火墙，去控制受害系统。服务器上线通知功能，让受害系统主动通知远端控制者。受感染的系统会泄密，并受到恶意者的攻击，如删除重要文件，系统不稳定等。服务端常用邮件方式被发出，所以要特别小心有附件的邮件。其服务端激活后的特点如下：

　　添加注册表启动项，随机自启动。注意：添加的键值是远端控制者自定义的，极具欺骗性。但都会有一个共性，就是服务端程序存在于系统目录下

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　（远端控制者自定）= （远端控制者自定）

　　手工清除方法：由于该黑客软件服务端程序使用的是自定义的文件名，加大了手工清除的难度。可用以下方法进行手工清除：首先，断掉网络。其次，结束进程管理器中能结束的应用程序。最后，搜索注册表中可疑的启动项，查看这些启动程序是否位于系统目录下，如果是，就禁用，并在系统目录下移走或删除启动项中指向的可疑程序。