[分享]小心被黑！木马生成器千万碰不得

<p>　　木马这个名词我想各位一定不陌生吧?游戏账号被人偷窃屡见不鲜。很多玩家因为报复的心理也想方设法去偷取其他人的号，于是木马横行，但其实…… <br/>　　现在，网上有很多盗号木马生成工具，只要设置好E-mail的用户名及该E-mail的密码，就可以盗号了。可你是否知道这个木马是包含后门的?在你用它来帮你盗号的同时，盗取的用户名及密码也都会发送给木马作者一份，而我们就是要利用嗅探工具来得到这个木马作者所用E-mail的用户名及密码。然后，来个“为民除害”。最后希望大家不要使用木马，不然害人的同时还会害己(有些木马还会盗取你的账号及密码)。</p><p>　　注:本文仅进行技术研究，请勿用于非法活动。</p><p>　　下面就以一款针对某网络游戏的木马来做分析，来看看如何得到木马中的一些“隐藏”信息。首先要准备的一些必要的工具:</p><p>　　①从网上下载我们所需要的嗅探工具，解压后得到xsniff.exe;</p><p>　　②一个传奇木马软件，网络上有很多。</p><p>　　下面就来开始抓获这个木马中的谍中谍。</p><p>　　第一步:点击“开始→运行”，输入“CMD”(不含引号)，打开“命令提示符窗口”。</p><p>　　第二步:进入嗅探工具所在目录，输入“xsniff.exe -pass -hide -log pass.log”(不含引号)，这样局域网里的明文密码(包括本机)都会被记录到pass.log中(见图1)。</p><p>&nbsp;

[分享]小心被黑！木马生成器千万碰不得

</p><p>　　第三步:下面打开该网游的木马，输入你的邮箱地址(见图2)，点击发送测试邮件的按钮，显示发送成功后，再打开生成的pass.log文件(括号内的文字为注释，并不包含在pass.log文件中):</p><p>&nbsp;

[分享]小心被黑！木马生成器千万碰不得

</p><p>　　……</p><p>TCP [04/08/04 19:14:10] </p><p><br/>　　61.187.***.160-&gt;202.102.***.114 Port: 1140-&gt;25　(前面的IP是发信人的IP地址，后面的IP是接收方的IP地址，PORT是指端口)</p><p>　　USER: ZXhlY3V0YW50[admin]　(USER是信箱用户名，前面的ZXhlY3V0YW50为加密的数据，后面[]内的为用户ID)</p><p>　　TCP [04/08/04 19:14:10]</p><p>　　61.187.***.160-&gt;202.102.***.114 Port: 1140-&gt;25</p><p>　　PASS: YWRtaW5zdXA=[adminsup]　(PASS是邮箱的密码，YWRtaW5zdXA=为加密数据，后面[]内的为密码)</p><p>　　TCP [04/08/04 19:14:10]</p><p>　　61.187.***.160-&gt;202.102.***.114 Port: 1140-&gt;25</p><p>　　MAIL FROM:　(类似于发邮件时的信息，指信息发送的目的邮箱)</p><p>　　TCP [04/08/04 19:14:10]</p><p>　　61.187.***.160-&gt;202.102.***.114 Port: 1140-&gt;25</p><p>　　RCPT T　(测试信箱的地址)</p><p>　　……</p><p>　　第四步:现在我们已经知道了这个木马是使用</p><p>　　admin@1234　.***邮箱来发信的，用户名是admin，密码是adminsup。于是，进入这个邮箱，删掉那些信吧。</p><p>　　第五步:不要以为这就结束了，木马是狡猾的，很多木马还包含一个隐藏后门。执行刚刚生成的木马服务器端(没有手动清理病毒能力的读者请勿轻易尝试，并对系统进行备份，以便还原)。</p><p>　　第六步:使用前面的命令，让xsniff开始嗅探，进入该游戏，随便申请一个ID，接着退出，再去看看pass.log文件。</p><p>　　……</p><p>　　TCP [04/08/04 19:20:39]</p><p>　　61.187.***.160-&gt;61.135.***.125 Port: 1157-&gt;25</p><p>　　PASS: YWRtaW5zdXA=[admin]</p><p>　　TCP [04/08/04 19:20:40]</p><p>　　61.187.***.160-&gt;61.135.***.125 Port: 1157-&gt;25</p><p>　　MAIL FROM:</p><p>　　……</p><p>　　看到了吗?木马终于漏出了狐狸尾巴，用户名为admin，密码为admin，邮箱是为</p><p>　　admin@12345</p><p>　　.***，这个邮箱才是作者的后门程序，木马真正的后门。</p><p>　　第七步:最后，将该邮箱里的盗号邮件清除，然后恢复系统。</p><p>　　最后:笔者想告诫各位想用木马来盗别人的账号的朋友:害人之心不可有!因为，在加害别人的同时，你自己也正在被伤害……</p>

见到木马喱两个字就讨厌！！！！！

<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>Laputa81</i>在2006-9-6 21:45:39的发言：</b><br/>见到木马喱两个字就讨厌！！！！！</div><p></p>噢。。。。我都有同感。。。。我同學中左木馬被人洗左400多元。。。繫互聯星空。。。。。

<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>luck0122</i>在2006-9-6 21:55:27的发言：</b><br/><p></p>噢。。。。我都有同感。。。。我同學中左木馬被人洗左400多元。。。繫互聯星空。。。。。</div><p>讨厌互聯星空！讨厌中国电信！</p>

<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>luck0122</i>在2006-9-6 21:55:27的发言：</b><br/><p></p>噢。。。。我都有同感。。。。我同學中左木馬被人洗左400多元。。。繫互聯星空。。。。。</div><p>唔喺咁惨啩？？ </p><p>喱个教训都几贵······</p>

<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>tandong</i>在2006-9-6 22:31:28的发言：</b><br/><p>讨厌互聯星空！讨厌中国电信！</p></div><p>讨厌都仲喺要用·········</p>

听到木马都开始头痛咯

<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>luck0122</i>在2006-9-6 21:55:27的发言：</b><br/><p></p>噢。。。。我都有同感。。。。我同學中左木馬被人洗左400多元。。。繫互聯星空。。。。。</div><p></p><p>我地系学校都试过无端端俾电信话我地欠互联费用~~~</p><p>我地根本没有人使用过~~~</p><p></p><p>吾知边鬼个盗用~~</p>