前段时间,在网络上出现了一个专门窃取密码的新木马,叫做“广外幽灵2.0”。我一听名字就马上联想起数月前风靡一时、专杀某种反病毒软件和某个网络防火墙的“广外女生”,于是我马上想一见其庐山真面目。
下载“广外幽灵”后解压缩,从介绍中发现这个的确是“广外女生网络小组”的又一新作品,于是就更加迫不及待地尝试了一下。
“广外幽灵2.0”的压缩包解压后生成了4个文件(见图一),分别是:
(图一)
GWGhost.exe 224k设置程序,用于生成“广外幽灵”的主程序
Config 113字节设置文件,保存上一次的设置
Readme.txt 3.17kb“广外幽灵”的说明文件
还有一个“使用帮助.HTM”是下载网站提供的说明文件
主程序GWGhost.exe的作用就是配置生成“广外幽灵”(见图一的黑色框),上边可以配置SMTP发件服务器的域名、接收邮箱、发送邮件的时间间隔、为对方所设的标识(用于分辨出中木马后不同人寄给木马使用者的密码邮件)、需要进行键盘记录的程序。当本人配置好设置以后,于是就生成了名字为“测试”的、大小为35.2K木马服务器端文件(见图一红色框)。
然后本人就马上双击木马“测试”来进行测试。本人的机器安装的是Winme操作系统,运行木马以后,我发现木马在c:\windows\system下面增加了两个文件(见图二红色框)GST00.TMP20K和SCANREGW.EXE36K 。
(图二)
随后机器很快就出现了“explorer出现非法操作”的提示,然后蓝屏,于是只好重启。开始我以为这个是偶然的现象,但是在后来我曾经多次清除木马以后再一次加载木马,也是经常出现这样的提示;有时候不会有这个提示,但是机器却从正常途径重启失败,windows不断报错,最后只可以用CTRL+ALT+DEL重启,后来在一台win98SE的机器上试验也是如此。
