揭开木马“网络公牛”的神秘面纱 (图)

网络公牛又名netbull，是一款国产木马。许多朋友觉得网络公牛非常神秘，因为中了它之后，虽然手工删除了它，但不久它又出现了，真是防不胜防！到底这是怎么回事呢？为什么网络公牛这么难以清除干净呢？如果您对木马没有什么研究，那就要看仔细了，因为本文要讲的就是网络公牛的特点及其清除方法，从而揭开它的神秘面纱！
   
网络公牛的文件组成
网络公牛下载后的压缩文件解压后会产生以下几个文件：
peepshell.dll：自动运行两个可执行文件的外壳;
autobind.dat：用于在服务器端自动执行一系列动作的外壳;
keycap.dll：按键捕捉DLL;
peepserver.exe：在服务器端真正执行的EXE文件;
peep.exe：客户端EXE文件;
buildserver.exe：用于把autobind.dat、peepshell.dll, peepserver.exe、keycap.dll捆绑成一个单独的可执行文件newserver.exe;
netbull.txt：网络公牛的说明文件。

网络公牛剖析
那么这些文件有什么用呢？本着“不入虎穴，焉得虎子”的精神，笔者和朋友做了个小实验。运行客户端peep.exe，会出现一个界面，打开菜单中的“配置服务器”→“配置”，会弹出一个对话框，在对话框的文件名栏中选择peepserver.exe，会打开“服务器参数配置”对话框，里面有3项。一个是“SMTP服务器”设置项，如果您用的是163.net信箱，那么这一栏您就要填：smtp.163.net；另一个是“端口”设置项，用25（即默认）即可；最后一个是“目标信箱” 设置项，当然是填入控制者的信箱啦。设置好后，在“捆绑运行”单选框里打上“√”。这样设置后，当运行了服务端的受害者上网后，他（她）的动态IP地址就通过邮件发到控制者的信箱。这一步也可在与服务端连接后动态设置。
生成服务端。运行buildserver.exe，会在运行目录下自动产生一个newserver.exe文件，文件大小为213KB，这个新产生的文件其实就是autobind.dat、peepshell.dll、peepserver.exe和keycap.dll这四个文件合成的新文件，它就是木马的服务端文件。所以千万不要随便在您的机子上运行它，否则您会中木马的！
进入对方主机。将newserver.exe改名用E-mail寄出，如果有人运行了这个程序，服务端就成功地进入了对方的电脑。
控制对方主机。运行客户端文件peep.exe，点击“文件”菜单，选择“增加主机”。这时会出现一个对话框，在“主机名”中可随便填；在“主机地址”栏中要填上收到的IP地址；连接方式默认为network，点击“OK”按钮 ，此时主机名和主机IP就会加入工作区中了；接着打开“命令选项”菜单点击“连接”，如果此时那个可怜的人还在线的话，主界面就会显示：2002/5/11 22:22:18与:xxx.xxx.xxx.xxx连接成(xxx.xxx.xxx.xxx为服务端所在IP地址)！
   
网络公牛主要功能
先来熟悉一下网络公牛的主界面（见图1）。

图1
在主界面中有四个菜单，主要功能都在“命令选项”里，具体来看看：
1.连接和断开连接：这没有什么可说的，主要用来连接服务端或断开与服务端的连接。
2.控制台：控制台主要包含以下一些项目：
①系统信息：有系统信息、获取密码、关闭计算机、重启计算机、闭锁计算机等功能。
②消息：可以给对方发短信息，该功能与木马“冰河”的“冰河信使”功能很相似。
③进程管理：有列举进程、删除进程和创建进程三项。
④查找：查找受控电脑中的文件，可以使用通配符。
⑤服务器在线修改：可以在线改变用来接收服务端IP地址的邮箱设置，包括重新配置SMTP服务器、所用端口、目的信箱地址这三项。
3．浏览器：可以打开服务端电脑里所有的文件、文件夹，还有上传、下载、删除、重命名、远方执行等功能。其中“远方执行”功能可以远程执行对方电脑中的可执行文件或上传过去的软件。
4．捕获屏幕：显现服务端电脑正在运行的屏幕，通过它，可以看服务端电脑正在运行什么软件。如果选中“命令选项”中的“屏幕捕获” 菜单，再点击其中的“选项”→“本地鼠标.键盘有效”就可控制受控方的鼠标和键盘。那时，被控者可真是欲哭无泪了。
   
进一步了解网络公牛
网络公牛的服务端文件newserver.exe改名发到对方电脑运行后，会自动脱壳成checkdll.exe(就是peepserver.exe)，它位于C:WINDOWSSYSTEM文件夹下，下次开机checkdll.exe将自动运行。
服务端运行后，会自动按客户端的IP邮寄设置给其信箱发一封信，告之开始运行的时间和服务端的IP地址，并每隔10分钟查询一次IP地址，在IP地址发生改变时也能通知客户端。看到了吗？您就是这样被牢牢控制住的——只要您上网，您的IP地址他就知道了！所以一定不能运行来历不明的软件，否则很危险哦！
服务端运行后会自动捕捉按键消息，并将内容写入服务端的系统目录下的alluser.dat文件中，在受控方运行IE和有密码输入窗口出现时的按键时都写入另一个专用文件ieuser.dat中。在这两个文件中如出现@符号则表示其后为拨号上网的密码，*号后为一般的密码。客户端在与服务端连接后，可用客户端文件peep.exe中的文件浏览器功能打开这两个文件。
服务端运行后会自动捆绑以下文件：
Windows 9x下：notepad.exe、write.exe、regedit.exe、winmine.exe、winhelp.exe
Windows NT/2000下：notepad.exe、regedit.exe、reged32.exe、drwtsn32.exe、winmine.exe。请注意，在Windows 2000下网络公牛捆绑文件时，会出现文件改动报警，但这也不能阻止上述文件被捆绑
服务端运行后还会捆绑在开机时自动运行的第三方软件，如realplay.exe、QQ、超级解霸等。
   
如何发现自己是否中了网络公牛
木马作为远程控制程序，中者的机器会开有特定的端口。一般一台个人用（不作为服务器，一般也没人把Windows 9x系统当做服务器来用）的Windows 9x系统在开机后最多只有137、138、139三个端口（若上网冲浪会有其他端口，这是本机与网上主机通讯时打开的，如IE会打开1025、1026、1027……端口，QQ会打开4000、4001……）。
在DOS命令行下用netstat -na命令可以看到本机所有打开的端口，例：
C:WINDOWS>netstat -na

Active Connections
Proto Local Address     Foreign Address    State
TCP xxx.xxx.xxx.xxx:137 0.0.0.0:0          LISTENING
TCP xxx.xxx.xxx.xxx:138 0.0.0.0:0          LISTENING
TCP xxx.xxx.xxx.xxx:139 0.0.0.0:0          LISTENING
UDP xxx.xxx.xxx.xxx:137 *:*
UDP xxx.xxx.xxx.xxx:138 *:*
发现有其他端口打开的那就要查查看了，您很可能中木马了。
网络公牛的默认连接端口为234444，因此如果您用上面的方法发现端口234444打开了，那么您很可能中了该木马！另外，作为木马，网络公牛没有采用国产木马常用的文件关联方式，它采用的是另外一种比较常见但令人异常讨厌的方法：文件捆绑方式。由于将某些文件捆绑在一块后，清除起来非常麻烦！采用这种方法有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。通过这个方法也可检查自己是否中了网络公牛。
   
网络公牛清除方法
被网络公牛感染了，要清除干净非常麻烦。您可以这样做：
删除网络公牛的自启动程序C:WINDOWSSYSTEM CheckDll.exe，然后检查注册表中如下位置：
[HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun]
“CheckDll.exe“=”C:WINDOWSSYSTEM CheckDll.exe”
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices]
“CheckDll.exe“=”C:WINDOWSSYSTEM CheckDll.exe”
[HKEY_USERS.DEFAULTSoftwareMicrosoft WindowsCurrentVersionRun]
“CheckDll.exe“=”C:WINDOWSSYSTEM CheckDll.exe”，将以上键值删除；接着，检查上面列出的可能被捆绑的软件，如果发现文件长度发生变化，就删除它们！然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面您删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如realplay.exe、QQ、超级解霸等被捆绑上了，那就得把这些文件反安装，然后再覆盖安装。
至此，我们就完全掌握了网络公牛的查杀方法。当然，不仅是网络公牛，其他木马也可以用类似的方法检查、删除。

作者:小吴