百科名片

“網(wǎng)絡(luò)幽靈(

I-Worm.Ghost

)”病毒:警惕程度★★★,木馬病毒,通過(guò)網(wǎng)絡(luò)傳播,依賴系統(tǒng): WIN9X/NT/2000/XP。

專家建議

建立良好的安全習(xí)慣,不打開(kāi)可疑郵件和可疑網(wǎng)站;關(guān)閉或刪除系統(tǒng)中不需要的服務(wù);很多病毒利用漏洞傳播,一定要及時(shí)給系統(tǒng)打補(bǔ)??;安裝專業(yè)的防毒軟件進(jìn)行實(shí)時(shí)監(jiān)控,平時(shí)上網(wǎng)的時(shí)候一定要打開(kāi)防病毒軟件的實(shí)時(shí)監(jiān)控功能。

刪除辦法

啟動(dòng)360安全衛(wèi)士,點(diǎn)系統(tǒng)啟動(dòng)項(xiàng),在里面找到Iexplorer.exe,點(diǎn)禁止。病毒自己就不會(huì)打開(kāi)了。

特點(diǎn)

網(wǎng)絡(luò)幽靈遠(yuǎn)程控制軟件是一個(gè)專業(yè)級(jí)的遠(yuǎn)程文件訪問(wèn)工具,具有以下特點(diǎn):

1.針對(duì)磁盤文件系統(tǒng):本軟件針對(duì)遠(yuǎn)程文件訪問(wèn),而不是遠(yuǎn)程控制,力求“專而精”。并高度模枋 Windows 資源管理器,簡(jiǎn)單易用,我們的目標(biāo)是使訪問(wèn)遠(yuǎn)程驅(qū)動(dòng)器就象訪問(wèn)本地的一樣方便。

2.強(qiáng)大的文件操作功能:可對(duì)本地及遠(yuǎn)程驅(qū)動(dòng)器進(jìn)行:新建文件、新建文件夾、查找文件、剪切、復(fù)制、粘貼(包括:本地文件操作、上傳、下載、同遠(yuǎn)程主機(jī)的文件復(fù)制與移動(dòng))、本地運(yùn)行、遠(yuǎn)程運(yùn)行、重命名、刪除、查看、修改驅(qū)動(dòng)器屬性、修改文件屬性等操作,支持?jǐn)帱c(diǎn)續(xù)傳,并且所有操作均支持多選及文件夾操作。

3.運(yùn)用了“反彈端口原理”與“HTTP 隧道技術(shù)”:

“反彈端口原理”:由服務(wù)端主動(dòng)連接客戶端,因此在互聯(lián)網(wǎng)上可以訪問(wèn)到局域網(wǎng)里通過(guò) NAT 代理(透明代理)上網(wǎng)的電腦,并且可以穿過(guò)防火墻(包括:包過(guò)濾型及代理型防火墻)。

HTTP隧道技術(shù)

把所有要傳送的數(shù)據(jù)全部封裝到 HTTP 協(xié)議里進(jìn)行傳送,因此在互聯(lián)網(wǎng)上可以訪問(wèn)到局域網(wǎng)里通過(guò) HTTP、SOCKS4/5 代理上網(wǎng)的電腦,而且也不會(huì)有什么防火墻會(huì)攔截。

所以,本軟件支持所有的上網(wǎng)方式,既“只要能瀏覽網(wǎng)頁(yè)的電腦,網(wǎng)絡(luò)幽靈都能訪問(wèn)!”。本軟件可以訪問(wèn)以下上網(wǎng)方式的電腦:撥號(hào)上網(wǎng)、ISDN、ADSL、DDN、Cable Modem、NAT 透明代理、HTTP 的 GET 型代理、HTTP 的 CONNECT 型代理、SOCKS4 代理、SOCKS4A 代理、SOCKS5 代理。

4.先進(jìn)的服務(wù)端上線通知功能:服務(wù)端通過(guò) UDP 協(xié)議發(fā)消息給客戶端,在“服務(wù)端在線列表”里可以看到服務(wù)端的主機(jī)名、互聯(lián)網(wǎng)的IP地址、局域網(wǎng)的IP地址、地址位置、上線時(shí)間、在線時(shí)長(zhǎng),所有信息一目了然,實(shí)時(shí)性高、安全可靠,是 Email 通知方式所不能比的。而且還有運(yùn)用了“HTTP 隧道技術(shù)”的服務(wù)端上線通知功能。

5.所有公開(kāi)的數(shù)據(jù)均用 RSA 數(shù)據(jù)加密

注:軟件使用前,使用者需提供一個(gè)主頁(yè)空間供它使用,主頁(yè)空間申請(qǐng)方法請(qǐng)看 Readme.txt。

軟件原理

概論

此類軟件被統(tǒng)稱為遠(yuǎn)程控制類軟件(或黑客軟件、木馬軟件),它們均為 C/S 結(jié)構(gòu)

(Client/Server,客戶機(jī)/服務(wù)器)。軟件分為客戶端與服務(wù)端兩部分,客戶端即為控制

端(由控制者使用),服務(wù)端為被控制端(由被控制者使用),依據(jù)服務(wù)端運(yùn)行時(shí)是否會(huì)顯

示明顯的運(yùn)行標(biāo)志(即對(duì)方是否知道它運(yùn)行有服務(wù)端),可分為正邪兩派,邪派就是傳說(shuō)

中的黑客軟件、特洛伊木馬程序,是各大殺毒軟件的首要目標(biāo)。

同類軟件原理

服務(wù)端運(yùn)行后,會(huì)在本機(jī)打開(kāi)一個(gè)網(wǎng)絡(luò)端口監(jiān)聽(tīng)客戶端的連接(時(shí)刻等待著客戶端的連接),連接建立后,客戶端可用這個(gè)通道向服務(wù)端發(fā)送命令并接收返回?cái)?shù)據(jù),即可實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。

本軟件原理

a.“反彈端口原理”簡(jiǎn)介:

如果對(duì)方裝有防火墻,客戶端發(fā)往服務(wù)端的連接首先會(huì)被服務(wù)端主機(jī)上的防火墻攔

截,使服務(wù)端程序不能收到連接,軟件不能正常工作。同樣,局域網(wǎng)內(nèi)通過(guò)代理上網(wǎng)的

電腦,因?yàn)槭嵌嗯_(tái)共用代理服務(wù)器的IP地址,而本機(jī)沒(méi)有獨(dú)立的互聯(lián)網(wǎng)的IP地址(只有

局域網(wǎng)的IP地址),所以也不能正常使用。就是說(shuō)傳統(tǒng)型的同類軟件不能訪問(wèn)裝有防火

墻和在局域網(wǎng)內(nèi)部的服務(wù)端主機(jī)。

但往往是道高一尺、魔高一丈,不知哪位高人分析了防火墻的特性后發(fā)現(xiàn):防火墻

對(duì)于連入的連接往往會(huì)進(jìn)行非常嚴(yán)格的過(guò)濾,但是對(duì)于連出的連接卻疏于防范。于是,

與一般的軟件相反,反彈端口型軟件的服務(wù)端(被控制端)主動(dòng)連接客戶端(控制端),為

了隱蔽起見(jiàn),客戶端的監(jiān)聽(tīng)端口一般開(kāi)在80(提供HTTP服務(wù)的端口),這樣,即使用戶使

用端口掃描軟件檢查自己的端口,發(fā)現(xiàn)的也是類似 TCP UserIP:1026 ControllerIP:

80 ESTABLISHED 的情況,稍微疏忽一點(diǎn)你就會(huì)以為是自己在瀏覽網(wǎng)頁(yè)(防火墻也會(huì)這么

認(rèn)為的)??吹竭@里,有人會(huì)問(wèn):既然不能直接與服務(wù)端通信,那如何告訴服務(wù)端何時(shí)

開(kāi)始連接自己呢?答案是:通過(guò)主頁(yè)空間上的文件實(shí)現(xiàn)的,當(dāng)客戶端想與服務(wù)端建立連

接時(shí),它首先登錄到FTP服務(wù)器,寫主頁(yè)空間上面的一個(gè)文件,并打開(kāi)端口監(jiān)聽(tīng),等待

服務(wù)端的連接,服務(wù)端定期用HTTP協(xié)議讀取這個(gè)文件的內(nèi)容,當(dāng)發(fā)現(xiàn)是客戶端讓自己開(kāi)

始連接時(shí),就主動(dòng)連接,如此就可完成連接工作。

本軟件用的就是這種“反彈端口”原理,可以穿過(guò)防火墻,甚至還能訪問(wèn)局域網(wǎng)內(nèi)

部的電腦。據(jù)作者所知,在同類軟件中,本軟件是唯一使用這種方法的,祝賀你!你幸

運(yùn)的選擇了它。

b.“HTTP 隧道技術(shù)”簡(jiǎn)介:

簡(jiǎn)單的來(lái)說(shuō),就是把所有要傳送的數(shù)據(jù)全部封裝到 HTTP 協(xié)議里進(jìn)行傳送,就可以

通過(guò) HTTP、SOCKS4/5 代理,而且也不會(huì)有什么防火墻會(huì)攔截。

我們都知道其它木馬只能訪問(wèn)撥號(hào)上網(wǎng)的服務(wù)端,而因?yàn)榫W(wǎng)絡(luò)幽靈使用了“反彈端

口原理”所以它不僅能訪問(wèn)撥號(hào)上網(wǎng)的服務(wù)端,更可以訪問(wèn)局域網(wǎng)里通過(guò) NAT 代理(透

明代理)上網(wǎng)的服務(wù)端。而使用“HTTP 隧道技術(shù)”以后,它甚至可以訪問(wèn)到局域網(wǎng)里通

過(guò) HTTP、SOCKS4/5 代理上網(wǎng)的服務(wù)端。這樣,網(wǎng)絡(luò)幽靈遠(yuǎn)程控制軟件就幾乎支持了所有的上網(wǎng)方式

,也就是說(shuō)“只要能瀏覽網(wǎng)頁(yè)的電腦,網(wǎng)絡(luò)幽靈都能訪問(wèn)!”。

網(wǎng)絡(luò)幽靈遠(yuǎn)程控制軟件 服務(wù)端支持以下上網(wǎng)方式:

撥號(hào)上網(wǎng)

ISDN

ADSL

DDN

Cable Modem

NAT透明代理

HTTP的GET型代理

HTTP的CONNECT型代理

SOCKS4 代理

SOCKS4A 代理

SOCKS5 代理

在上述上網(wǎng)方式下,均可正常工作。

上線通知原理

互聯(lián)網(wǎng)如此之大,覆蓋全球,我們?nèi)绾螛?biāo)識(shí)并找到上面的任何一臺(tái)電腦呢?答案是

:IP地址,每臺(tái)連網(wǎng)電腦都會(huì)被分配一個(gè)IP地址,這個(gè)IP地址是全球唯一的,就象你家

的門牌號(hào)碼,別人可以根據(jù)這個(gè)找到你。同樣,IP地址分配是有規(guī)律的,可以根據(jù)IP地

址分配表查出相應(yīng)的地理位置(本軟件內(nèi)置IP地址分配表)。

現(xiàn)在大多數(shù)互聯(lián)網(wǎng)用戶是撥號(hào)上網(wǎng)的,撥號(hào)上網(wǎng)的IP地址是由ISP(互聯(lián)網(wǎng)接入服務(wù)

提供商,例如163、169)動(dòng)態(tài)分配的。兩臺(tái)電腦想要連接就必須要知道對(duì)方的IP地址,

就象想去你家串門就必須知道你的住址。因此,服務(wù)端如何把自己的IP地址告訴客戶端

就成了一個(gè)大問(wèn)題,也就是服務(wù)端上線通知。

現(xiàn)在最常用的方法是Email通知,即服務(wù)端上網(wǎng)后,發(fā)送自己的IP地址到事先指定

郵箱,客戶端使用者只要去收信就行了。這種方面雖然最常用,但有很大不足,首先

Email的實(shí)時(shí)性得不到保證,時(shí)慢時(shí)快,這與發(fā)信服務(wù)器的線路質(zhì)量有很大關(guān)系。其次

,現(xiàn)在越來(lái)越多的發(fā)信服務(wù)器設(shè)了“發(fā)信認(rèn)證”功能,發(fā)信也要郵箱的密碼(原來(lái)只有

收信才要),這就給服務(wù)端發(fā)信增加了困難,服務(wù)端不帶密碼無(wú)法發(fā)送,帶密碼則有可

能被別人破出來(lái)。本軟件用的是另一種更先進(jìn)的方法:UDP通知,客戶端上網(wǎng)后,會(huì)將

自己的IP地址寫到主頁(yè)空間的指定文件里,服務(wù)端定期讀取這個(gè)文件的內(nèi)容,就可得到

客戶端的IP地址,并將自己的一些其它信息(主機(jī)名、IP地址、上線時(shí)間等等)用UDP協(xié)

議發(fā)送給客戶端??蛻舳私邮蘸?,將數(shù)據(jù)解釋并顯示在“服務(wù)端在線列表”里,服務(wù)端

情況一目了然??赡苡腥藭?huì)擔(dān)心:主頁(yè)空間上的文件誰(shuí)都可以訪問(wèn)(就象瀏覽網(wǎng)頁(yè)),自

己的IP地址會(huì)不會(huì)讓別人看到?這個(gè)問(wèn)題作者當(dāng)然已經(jīng)想到,所有可能被別人看到的數(shù)

據(jù)(包括主頁(yè)空間上的)都已經(jīng)加密了,就算別人拿到了也沒(méi)用。而且數(shù)據(jù)加密密碼是由

用戶自行設(shè)置的,就連軟件作者也無(wú)法破解。

網(wǎng)絡(luò)幽靈還有運(yùn)用了“HTTP 隧道技術(shù)”的服務(wù)端上線通知功能,即如果服務(wù)端是

通過(guò) HTTP、SOCKS4/5 代理上網(wǎng)的,無(wú)法再使用 UDP 上線通知方法,它就會(huì)自動(dòng)使用

“HTTP 隧道技術(shù)”的上線通知方法:先用“HTTP 隧道技術(shù)”與客戶端建立一條 TCP

連接,以后每分鐘再通過(guò)此連接向客戶端發(fā)送上線通知數(shù)據(jù)。(“HTTP 隧道”主機(jī)的圖

標(biāo)與普通主機(jī)不同,圖標(biāo)前面增加了一個(gè)金黃色的小管道)