小心被黑!木馬生成器碰不得!

　　2005年注定是網絡游戲盛行的一年，木馬這個名詞我想各位一定不陌生吧？游戲賬號被人偷竊屢見不鮮。很多玩家因為報復的心理也想方設法去偷取其他人的號，於是木馬橫行，但其實……現在，網上有很多盜號木馬生成工具，只要設置好E-mail的用戶名及該E-mail的密碼，就可以盜號了。可你是否知道這個木馬是包含後門的？在你用它來幫你盜號的同時，盜取的用戶名及密碼也都會發送給木馬作者一份，而我們就是要利用嗅探工具來得到這個木馬作者所用E-mail的用戶名及密碼。然後，來個“為民除害”。最後希望大家不要使用木馬，不然害人的同時還會害己(有些木馬還會盜取你的賬號及密碼)。　　注:本文僅進行技術研究，請勿用於非法活動。　　下面就以一款針對某網絡游戲的木馬來做分析，來看看如何得到木馬中的一些“隱藏”信息。首先要准備的一些必要的工具:　　①[點擊這裡]下載我們所需要的嗅探工具，解壓後得到xsniff.exe;　　②一個傳奇木馬軟件，網絡上有很多。　　下面就來開始抓獲這個木馬中的諜中諜。　　第一步:點擊“開始→運行”，輸入“CMD”(不含引號)，打開“命令提示符窗口”。　　第二步:進入嗅探工具所在目錄，輸入“xsniff.exe -pass -hide -log pass.log”(不含引號)，這樣局域網裡的明文密碼(包括本機)都會被記錄到pass.log中(見圖1)。 　　第三步:下面打開該網游的木馬，輸入你的郵箱地址(見圖2)，點擊發送測試郵件的按鈕，顯示發送成功後，再打開生成的pass.log文件(括號內的文字為注釋，並不包含在pass.log文件中):

TCP [04/08/04 19:14:10]　　61.187.***.160->202.102.***.114 Port: 1140->25　　(前面的IP是發信人的IP地址，後面的IP是接收方的IP地址，PORT是指端口)　　USER: ZXhlY3V0YW50[admin]　　(USER是信箱用戶名，前面的ZXhlY3V0YW50為加密的數據，後面[]內的為用戶ID)　　TCP [04/08/04 19:14:10]　　61.187.***.160->202.102.***.114 Port: 1140->25　　PASS: YWRtaW5zdXA=[adminsup]　　(PASS是郵箱的密碼，YWRtaW5zdXA=為加密數據，後面[]內的為密碼)　　TCP [04/08/04 19:14:10]　　61.187.***.160->202.102.***.114 Port: 1140->25　　MAIL FROM: 　　(類似於發郵件時的信息，指信息發送的目的郵箱)　　TCP [04/08/04 19:14:10]　　61.187.***.160->202.102.***.114 Port: 1140->25　　RCPT T <1@1.***>　　(測試信箱的地址)　　……　　第四步:現在我們已經知道了這個木馬是使用admin@1234.***郵箱來發信的，用戶名是admin，密碼是adminsup。於是，進入這個郵箱，刪掉那些信吧。　　　　第五步:不要以為這就結束了，木馬是狡猾的，，很多木馬還包含一個隱藏後門。執行剛剛生成的木馬服務器端(沒有手動清理病毒能力的讀者請勿輕易嘗試，並對系統進行備份，以便還原)。　　第六步:使用前面的命令，讓xsniff開始嗅探，進入該游戲，隨便申請一個ID，接著退出，再去看看pass.log文件。　　……　　TCP [04/08/04 19:20:39]　　61.187.***.160->61.135.***.125 Port: 1157->25　　PASS: YWRtaW5zdXA=[admin]　　TCP [04/08/04 19:20:40]　　61.187.***.160->61.135.***.125 Port: 1157->25　　MAIL FROM: 　　……　　看到了嗎？木馬終於漏出了狐狸尾巴，用戶名為admin，密碼為admin，郵箱是為admin@12345.***，這個郵箱才是作者的後門程序，木馬真正的後門。　　第七步:最後，將該郵箱裡的盜號郵件清除，然後恢復系統。　　最後:筆者想告誡各位想用木馬來盜別人的賬號的朋友:害人之心不可有！因為，在加害別人的同時，你自己也正在被傷害……