查看: 2562|回复: 7
收起左侧

搞笑的木马杀客!自己就是木马,还做反木马软件

[复制链接]
qyb179
发表于 2006-12-10 10:36:32 | 显示全部楼层 |阅读模式
近年来,木马成为了网络安全的一大新的威胁,于是各种各样的反木马软件也应运而生,前一段我听朋友介绍,在木马杀客官方主页上下载了一个名为木马杀客的软件(现在最新版本是2007测试版1),试用之后,发现了一些问题,现在整理出来,让大家做一个了解。

       我下载的是绿色版的木马杀客2007测试1,从目录下的EThread.fne等文件的fne名可以确定,该软件是使用易语言编写的。在试用过程中,我发现,木马杀客是靠文件名+文件体积的方式来识别木马的(也就是用作者在网上收集的木马名字和木马文件的体积和扫描的文件来进行对比),为此我特地做了两个小试验来进行验证:
NO1.小试验一:
在桌面建立一个空文本文件:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163744578098.jpg

改名为lsass.exe,木马杀客立马报毒,并立即改后缀隔离(要将该空字节文件和木马杀客同时置于桌面或者同一目录下):

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163744640386.jpg

这难道也叫木马,空的文件,可笑:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163744678079.jpg

上述小试验大家可以看出,木马杀客就是靠的已知的文件名来识别木马的,作者所谓的病毒样本上报,也不过就是想得到新木马安装之后的服务端名字和文件体积而已。

NO2.小试验二:
我在网上下载了“中国病毒联盟”的25个木马的文件包,选取了里面的一个木马:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163746273418.jpg

木马杀客可以识别出来并隔离:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163746312643.jpg

为了改变文件的大小,我给该测试用木马加了一个空的区段:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163746394744.jpg

大家仔细看,文件体积已经改变:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163746482019.jpg

在用木马杀客去扫,已经没办法识别出来了:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163746519836.jpg

换用卡巴去扫,依旧可以识别出来:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163746545679.jpg

通过上面的两个小试验大家可以看出,木马杀客识别木马的方法就是靠的文件名+文件体积的办法,也许有些木马杀客的拥护者要质疑,那我在接着验证一下,看木马杀客是否支持先阶段主流的表面特征码识别技术。

NO3.小试验三:
同样选取刚才的木马:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163746733460.jpg

木马杀客可以识别出来:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163746762981.jpg

我试用MyCLL将木马分成50块:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163746852322.jpg


file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163746875209.jpg


再用木马杀客扫描,已经不报毒了:
file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163746962295.jpg


卡巴和AVG Anti-Spyware v7.5因为支持特征码是被技术的缘故,可以查杀分块后的文件

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163747057461.jpg


file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163747073331.jpg

上面的实验已经可以充分说明,木马杀客根本不支持特征码识别技术,但木马杀客作者却在主页上大肆声明,木马杀客采用杀毒殷勤辨别特征码技术,那么他这个所谓的特征码,由此看来不过就是杀客作者收集的一些木马的文件名称而已:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1164511207651.jpg



上面的对比测试已经可以充分说明了木马杀客识别木马的原理了,想必大家心里也有了一个底。其实衡量一个杀木马软件还有一个重要的指标就是支持脱的壳是多少,关于这一点,遗憾的是,木马杀客作者也许连什么叫加壳都不知道吧,也就谈不上支持何种壳了。大家可以参看:http://softbbs.pconline.com.cn/topic.jsp?tid=6087616


NO4:我还要说一点的是,木马杀客号称一个反木马软件,可自身却被杀软大厂报识别为木马
这是昨天截取的图片,瑞星2006将木马杀客识别为键盘记录类木马:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163747319866.jpg

AVAST!4.7专业版同样的也将木马杀客报为病毒:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163747362801.jpg

这个呢稍有电脑常识的人都能想到它要干什么了吧,我就不多做解释,大家自己去想吧:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163747571421.jpg


木马杀客的论坛上有人说是因为易语言的缘故,但奇怪的是我用易语言再带生成的MP3播放器用上述两个杀软扫描,并没有任何提示。
多的评述就不说了,功过是非,大家自己去想吧!



木马杀客论坛上有人解释说,我的第一个测试有问题,说他那个是因为加入了什么所谓的“系统内核保护技术”,只要在别的地方发现与系统关键文件同名的文件,就会立即删除,那好,就这句话,我就补上另一个试验,就可以揭穿他们的谎言了.

同样的建立三个空的TXT文件:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163842524163.jpg

改名为G_server.exe,G_server.dll和G_server_hook.dll也就是老版本灰鸽子三个服务端文件名:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163842591979.jpg

看到了没有,同样是空字节的文件:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163842627632.jpg

看到没有,报为灰鸽子了:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163842676748.jpg


更离谱的是我选取了木马杀客的三个主要文件,mmsk.exe、mmskskin.dll、skinppwtl.dll三个文件

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163923810529.jpg


改名为G_server.exe、G_server.dll、G_server_hook.dll。

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163923857919.jpg


看到没有木马杀客真正是铁面无私,即使是自家的文件,主要换上木马的名字,照样报毒。

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163923980173.jpg


做完上面的这些小实验之后,我就想,做为国内的另一个查杀木马的拳头产品---木马克星会不会也有这样的问题呢。接下来,我就用相同的小实验来验证一下:
采取相同的办法,提取了三个文件出来,分别是木马克星安装目录下的Iparmor.exe,SocketArmor.dll,和HookHookDll.dll:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163924548288.jpg

还是改为图中所示灰鸽子的三个服务端文件:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163924592262.jpg

心彻底寒了,也是将自己报为木马,这也从侧面说明了,木马克星和木马杀客根本就是一丘之貉:

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163924751805.jpg

G_server.dll文件没有被识别为木马,其根本的原因是G_server.dll这个文件名未必木马克星作者收录的缘故吧.

file:///F:/knowledge%20about%20PC/搞笑的木马杀客!自己就是木马,还做反木马软件。%20-%20软件应用与心得%20-%20太平洋电脑网软件论坛%20PConline.files/1163924771958.jpg


说实话,对国产软件再一次的彻底死心了。说实话,这些软件,名字一个比一个起的有气势,可性能却一个比一个垃圾,但就是这些糟糕的软件被很多国人盲目的迷信着,追捧着。真的不明白,国人为何就是如此的好骗,一个智慧星已经把大伙骗的团团转了,现在更是,骗人的软件比比揭示,倾巢而出。我在想,人的道德感都哪儿,这些造假之人难道就没有一丝丝的愧疚吗。不要让金钱蒙蔽了你们的良知,醒悟吧。
最后,送给这些作者们一句心底话:“修合无人见,存心有天知”
qyb179
 楼主| 发表于 2006-12-10 10:38:40 | 显示全部楼层
怎么图片没了呢
kang 该用户已被删除
发表于 2006-12-10 10:56:04 | 显示全部楼层
不会是真的吧
qyb179
 楼主| 发表于 2006-12-10 10:58:45 | 显示全部楼层
本人觉的这个文章很不错,大家值的一看
原文章地址http://softbbs.pconline.com.cn/topic.jsp?tid=6383376
jimmyleo
发表于 2006-12-10 11:00:33 | 显示全部楼层
有所听闻,还好没用国
mds
发表于 2006-12-10 11:17:00 | 显示全部楼层
我只用AVG
woxingwoshu
发表于 2006-12-10 11:34:06 | 显示全部楼层
有水平,支持。
29159011
发表于 2006-12-10 15:46:50 | 显示全部楼层
国产的软件真垃圾
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-16 03:43 , Processed in 0.113607 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表