Backdoor(YAI)病毒怎么是新浪的IP啊？

显示全部楼层 · 2009-1-30 06:28:38

我的天网防火墙显示一个病毒在应答本机的Backdoor (YAI)[1999]端口，它的IP地址是：60.215.128.252但这个IP应当是新浪的新闻网的IP啊！

后门木马的中毒现象木马后门一般有三种：第一种，收到游戏账号后同时发信到两个不同的地址。其中一个地址是你的，另一个地址就是后门了。第二种，收到游戏账号同时发信到两个地址，而且还做了一些过滤。这种就比较狠了，比如某款游戏做了72级大号过滤，那你收到的信不但同样会发到别人的收信地址，而且72级以上的号你一个也收不到。郁闷吧……第三种，只做过滤后门，比如做等级过滤。他的后门信只会收到XX级以上的号，别的号他不会收，也不会跟你抢信。当然，用马的人肯定就收不到大号了。这里第一种后门比较通用，收费木马和免费木马都惯用这种后门；而第二种和很三种后门则一般出现在免费的木马中，因为你测试木马时，很少直接用大号去测试，别人就抓住这个心理，做了个大号过滤。他拿一个号，顶你N个……木马的效果和体积很容易判断，难就难在很多朋友还不会找木马后门，这里说到了今天这篇贴子的主题，我教大家用最简单的方法来检测木马是否有后门。检测木马是否有后门的方法很多，这里容易掌握的方法有两种。第一种方法比较老大，就是生成小马后，脱壳反编译，在汇编代码里和十六进制编码里面找寻收信地址，除了自己设置的收信地址外的另一个收信地址就一定是后门了！汇编很难懂，也很难上手，我们就直接说从十六进制编码里面找后门吧。这里用到的工具有三个种类：1、
查壳工具（我常用的是PEiD它能够侦测出几乎所有的壳，操作简单）2、
脱壳工具（常用的脱壳工具有Unpack、UPX通用解压器、WinUpack通用脱壳机等等。）3、
反编译工具（我常用的是UltraEdit 操作简单）测试木马后门时，我们首先要查小马的壳，然后用相应的脱壳工具把壳脱掉，再用反编译工具对其进行反编译。查壳和脱壳就不多说了，工具都是傻瓜式的，上手就会！反编译时，我们选择十六进制编缉模式，然后查找四个关键词：“http” 、“.com” 、“.net” 、“.txt”查找http 和 .txt 的目的主要是为了找到空间收信后门和空间文档备份后门。 .com和.net是针对邮箱收信后门的查找，当然也可以把关键词设为 @163.com ,@126.com , @sohu.com 等等。查找这些关键词时，如果发现如：http://www.xxxx.com/muma/mail.asp?xxx= 这些之类的，连接，而又不是你的空间收信地址，那它很可能就是后门了。找到这个后门要利用的话，就要看你极别了，高难点的就是破解他的空间，直接去看信，这种技术含量高啊，不提。另一种方法就是用WEB扫描器扫了，因为空间看信方式的不同，我们可以扫三种文件之一， .txt
.asp
.mdb。推荐用臭要饭的WEB路径猜解。字典工具推荐用易优的超级字典生成器，这是我所见过生成字典最快的软件之一。如果他看信地址的文件名很简单，比如六个字符以内，那就很容易扫到，若别人看信地址的文件名是字母加数字十多位的话，那你只能自认倒霉了，就算扫描器能加载字典去扫，而你的硬盘又真装得下那么大个字典的话，也得扫个一年半载才有收获。比如你找到的后门收信地址是：http://www.xxxx.com/muma/mail.asp 那你扫描时，设定路径为http://www.xxxx.com/muma/ 然后扫文件名。若他后门看信地址是http://www.xxxx.com/muma/pass.asp这样简单的话，你就笑吧，可以轻易扫出来并慢慢看去。邮箱地址就不用说了，一眼就看出来，只要不是你的邮箱，那就一定是别人的邮箱了。如果别人后门发信邮箱和收信邮箱是同一个，那恭喜你，还可以在同一个地方找到他邮箱登陆密码，可以去他后门信箱看信了。空间备份文档一般格式为一个空间目录地址，如： http://www.xxxx.com/muma/然后在下一段或后面出现 xxxx.txt这样就是别人的后门备份了。这种后门文档备份，自己也可以利用，比如上面说的，查找到一个空间目录和一个txt文档是分开的，但只要你打入 http://www.xxxx.com/muma/xxxx.txt 就能看他后门备份了。如果txt文档太大，浏览器无法打开，那就用迅雷下载来慢慢看吧。现在不少做马放后门的人都精了，他们对后门收信相关的语句和字段都进行了加密处理，这样用先前直接破解的方法就很难找出他们的后门来。这时我们要用到第二个万能的方法了——抓包！
这里提到的抓包是指抓取本地计算机和网络通讯时的数据封包，抓包很容易，难就难在分析。你必需要从庞大的数据包中分析哪一段是木马发出到别人后门收信地址的。抓包找后门，也有很多人会，但大多数却找不到原本存在的后门，为什么呢？这原因有两个，一个是抓包的方法错了，他可能是指字对木马进程进行抓包，这样抓包有可能抓到后门也有可能抓不到，因为这个进程有可能是假的，也有可能是写马人的障眼法。所以要真正全面的检测后门，必需抓取通过本地机发出的所有数据包进行分析。这样若木马有后门的话，绝对无所遁形。抓包找不到存在后门的第二个原因是发信延时，这也是让很多自以为查找后门很有一套，发现没有后门后大胆用马，却仍然中招的关键。遇到这种情况，就不是你技术上的原因了，而是写后门马的人给你玩了一招心理战。那就是发信延时。正常信发了数分钟，甚至十多分钟后才发后门信，这是很多人都想不到的。一般人抓包都是进游戏后两三分钟，然后退出来取包分析。这样后门根本就没有发信，你又怎么能抓到包呢？言归正传，我直接说一下抓包方法，用到的工具，除木马外就只需一个数据包监听软件，监听本地数据包的软有很多，我常使用的是 ipTicker 这款工具。抓包之前，你最好先进游戏，把游戏里的角色跑到一个隐蔽点的地方，比如一个少有人去的屋子里，然后关闭各种聊天功能，和一切可能吸收到外部数据的功能。这样做的目的是把数据流量减到最低，便于分析包。然后退出游戏，关了如QQ、IE 之类可能与外部通讯的软件，然后运行木马，运行IP数据包监听程序，进入游戏，进入游戏画吧后不要动，完全不要动，这样避免不必要的数据包产生。过个二十分钟甚至半个小时后再退出游戏，关掉IP数据包监听程序，并将监听到的数据包导出进行分析。。（最好用个大号，这样才能判断别人是不是只过滤大号发信）分析数据包时，查找80端口发出到网络地址的字段，找寻有没有别人的后门收信地址，还有查找有没发出邮件到某个邮箱的包。只要你抓包和分析没有遗漏，那便可以肯定的判断出这个木马是否有后门了。最近测试了许多木马，有些是朋友测试的收费马，有些是从网上找来的免费生成器，发现木马被发后门的情况还真是严重，特别是网站上发布的那些所谓免费生成器，惨不忍睹啊！离谱的是包括华夏在内的一些大型的黑客网站，上面发布出来的生成器，居然也是同样有后门，而且还是比较狠的那种，真不知道这些木马是怎么通过审核的。这话说出来可就有些得罪人了……最近找了许多后门地址，本来打算要公布的，想想还是算了，得罪的人太多了可不好！昨天在华夏的FTP空间里闲逛，这里面放着别人已经发布过，或是等着通过审核让发布的一些教程和软件，我在里面找了几个木马生成器来测试，发现其中有一个江湖生成器不错，我指的不错是说他没有后门，抓了四十分钟的包也没有后门发信。这事就有点怪了，这款江湖的生成器应该是无所门的，最少以我的功力是找不出后门。但华夏让一款垃圾江湖马发布，却把这款生成器给扔在了一边。不得其解啊……那款找不到后门的江湖生成器被我下载了回来放到了自己的空间里，大家可以去下载来试试，哪位高手要是能破解出后门，还望指教一下。木马查壳工具下载地址：
http://www.wj53.com/tool/pe.rar几种脱壳工具包下载地址： http://www.wj53.com/tool/tk.rar反编译工具下载地址：
http://www.wj53.com/tool/by.rar抓包工具下载地址：
http://www.wj53.com/tool/ip.rarWEB扫描器和字典下载地址： http://www.wj53.com/tool/sm.rar“引用”
提问者对答案的评价：

对方用了代理``````````

建议下载安装最强木马专杀软件ewido,下载地址：http://www.sdday.com/Software/Catalog27/76.html下载后先注册升级到最新版，然后到安全模式下杀毒一定解决问题，注册码和升级方法在下载页面有说明。