找回密码
 骑士注册

QQ登录

微博登录

搜索
❏ 站外平台:

Linux中国开源社区 技术 查看内容

如何黑一个黑客

2012-05-02 16:02    评论: 8 收藏: 2 分享: 4    

  最近,在搜检垃圾信息时,我偶然看到了这样一个很普通的邮件。它使用了一个很简单的编造八卦的伎俩,推测奥巴马的性取向,并提供了一个指向一个证明图片的链接。

邮件内容

  这条垃圾信息没有什么特别的,但链接指向的这个具有双重后缀的,叫做“you.jpg.exe”的文件却有点研究价值。出于好奇,我把这个文件下载下来,检查它会干些什么事。

我首先做的是看看这个文件真正的文件类型。很显然,它不是一个关于奥巴马的图片,而是一个可以自解压的RAR文件。

RAR文件

  通过RAR提取工具,我打开了这个自解压文件,看到了里面的内容。

RAR文件内容

  解压了“you.jpg.exe”,检查里面的每一个文件,但发现它们都是经过加密的。于是,我在测试机上直接运行了“you.jpg.exe”,看看会有什么事情发生。双击它后,下面的这个图片跳了出来。嘿嘿,果然不是奥巴马。

考拉

  在后台,下列文件被自动安装到了Windows System32目录下:

  • bpk.dat
  • bpk.exe
  • bpkhk.dll
  • bpkr.exe
  • inst.dat
  • pk.bin

  而且,在注册表里创建了一个自动运行的autorun命令:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
bpk = <%windir%\System32\bpk.exe>

  我在谷歌上搜索这些文件名称,找到了一些有用的信息,测试机上被安装的这些文件是一种键盘监控程序,特别之处是,这是一款商业版的软件,来自 Blazing Tools公司,叫做Perfect Keylogger (PK)。这款键盘监控软件可以通过正常的渠道购买和合法的使用,公开宣传功用是监控孩子或员工的上网行为,等等。你可以想象,它同样可以拿来做坏事。

  我的分析到这儿差不多准备结束了。但几分钟后,有趣的事情出现了。监控软件连接上了一个远程的FTP服务器,这样我就有了机会捕获这个入侵者的FTP帐户信息了。

Screenshot-Follow TCP Stream

  通过拦截到的用户名和密码,我登入了这个FTP服务器,发现了大量的存放有监控日志和受害人桌面屏幕截屏的文件夹。从这些数目众多的日志就可以看出,这个垃圾信息制造者的一条八卦信息的伎俩是多么的有效。

FTP-0424E

  下面是这个FTP服务器的注册信息:

Whois

  我还不想就这么结束,我对这个监控软件的安装程序做了更进一步的研究,我希望能找到这个窃听事件的幕后人物。

12下一页
查看其它分页:

最新评论

我也要发表评论

mountainlee 2012-05-02 16:25 回复

额滴神啊,版主还给力

_江浩_ 2012-05-02 16:52 回复

我想说..好2的提交方式啊.

绿色圣光 2012-05-02 20:07 回复

威武!哈哈!

wzxjohn 2012-05-03 18:39 回复
试试看发信地址能不能找到什么信息吧~呵呵~~~
微博评论 2012-05-08 21:56 回复
+1

来自 中国黑客联盟V 的新浪微博
windnestlinux 2012-05-09 18:50 1 回复

厉害……膜拜

netb2c 2012-05-10 16:18 1 回复
膜拜 给力
upall 2012-05-28 14:11 1 回复
_江浩_ 发表于 2012-5-2 16:52 我想说..好2的提交方式啊.

那个“图片”链接也很2啊。。。。

收藏

返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。