危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18787863

伊波拉病毒 下载!下载!

最近忙着学Delphi,一时头晕。于是乎,我就在网上闲逛起来。无意中看到一款名为:“伊波拉病毒”的程序,这名字挺新奇的,正好让空虚的哥解解乏。

于是,我运行了这程序。界面做的太牛X了!这么猥琐的程序原来是一款“下载者”。这界面看起来应该是VB编写的,大致和常见的一些下载者没什么两样。空欢喜一场,既然运行了,我就看看这下载者有什么独一无二的地方。

为了方便大家理解,我先来介绍一下什么是下载者。下载者(Downloader)是一类计算机病毒程序,按照国际上的病毒命名惯例为“Trojan-Downloader”一类,这类木马程序的主要内容为:指引中毒用户的计算机到黑客指定的URL地址去下载更多的病毒文件或者木马后门文件并运行,使得黑客获得更大操作权限,为黑客后门技术奠定基础。通俗的说,就是自动下载病毒的程序。

一般这类病毒体大小在几百字节到几KB之间,比一般的木马程序要小的多,便于网络传播。网站挂马通常挂的都是下载者木马,因为下载者程序体积小,可以迅速下载执行,不卡IE浏览器。所以,不安装杀毒软件,一般很难发现。

近段时间出现的变种下载者,它的发展速度很快,集成了各种各样的功能,如:抗杀软、穿防火墙、过主动防御和云安全查杀、穿透还原卡和还原精灵、映像劫持、屏蔽反病毒网站、浏览器劫持、锁IE浏览器首页、弹广告等等。下面,我们就来体验下这款“伊波拉病毒”。

在“Down url”(下载地址)里填上我们所要下载文件的具体位置。

我就用它下载我的木马好了,文件的位置一定要精确,否则下载的就不知道是什么玩意儿了。然后点击按钮:“make”,生成下载者的服务端。服务端直接生成在生成器的同一目录下,名为:“server”(服务)的EXE文件。

生成的服务端大小为:39KB,这个服务端貌似太大了点,一般优秀的下载者体积都很小,几乎在8KB左右。接下来,我们把这个文件拉到360里面转几圈,结果一下就被秒了。看来这服务端已经过了免杀期,这样的话我们先来给它做个免杀。一般给服务端加2个壳就可以了,把这个服务端打包发送给某人或者挂到网页上去就OK了。我们也可以很清楚的看到它的下载动作。

在运行时,屏蔽大量感染下载者等恶意程序,可使这款程序运行更为流畅。这款下载者的优势就在于它在TXT定时下载完成后,会立即清除缓存中的下载连接地址,从而更好的保护我们下载地址的隐蔽性。另外,这款下载者采用了无限下载项,使用TXT的下载方式可以随时更换连接。一般比较专业的程序员在开发下载者时,都会给下载者添加一个自杀动作。在完成下载任务后,下载者的服务端都会采用自杀方式消除痕迹,这款下载者也采用了自杀方式。

总体来看,这款下载者还说的过去。关于这款下载者的研究,就进行到这儿。相信大家也对“下载者”这种程序有所了解了,有兴趣的读者不妨也去实际操作一下,毕竟理论和实践还是有一定差距的。 

相关推荐