複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/網絡神偷/1934981
複製
複製成功

網絡神偷

鎖定
“網絡神偷(Trojan.Nethief.46)類似灰鴿子,”木馬:警惕程度★★★★,通過網絡傳播,依賴系統: WIN8/7/NT/2000/XP。
病毒會將自己拷貝到系統目錄下命名為:Iexplorer.exe,然後在註冊表的自啓動項中添加“Internet Explorer”的病毒鍵值。運行時會每隔一分鐘就連接一次病毒網站,並與病毒作者進行溝通,企圖控制用户的電腦,給用户帶來損失。
此類軟件被統稱為遠程控制類軟件(或黑客軟件、木馬軟件),它們均為 C/S 結構(Client/Server,客户機/服務器)。軟件分為客户端與服務端兩部分,客户端即為被控制端(由被控制者使用),服務端為控制端(由控制者使用),依據服務端運行時是否會顯示明顯的運行標誌(即對方是否知道它運行有服務端),可分為正邪兩派,正派就是例如遠程控制類軟件網絡人,獲得公安部頒發的計算機信息系統安全專用品銷售許可證,安全可靠。邪派就是傳説中的黑客軟件、特洛伊木馬程序,是各大殺毒軟件的首要目標。
同類原理:服務端運行後,會在本機打開一個網絡端口監聽客户端的連接(時刻等待着客户端的連接),連接建立後,客户端可用這個通道向服務端發送命令並接收返回數據,即可實現遠程訪問
中文名
網絡神偷
病毒名稱
Trojan.Nethief.46
警惕程度
★★★★
病毒類型
木馬病毒
依賴系統
WIN9X/NT/2000/XP
傳播方式
網絡傳播
傳播方
星辰

目錄

  1. 1 病毒特點
  2. 2 專家建議
  3. 3 刪除辦法
  1. 4 軟件技術
  2. 5 軟件原理
  3. 反彈端口
  1. 上線通知

網絡神偷病毒特點

網絡神偷 網絡神偷
網絡神偷是一個專業級的遠程文件訪問工具,具有以下特點:
⒈針對磁盤文件系統:本軟件針對遠程文件訪問,而不是遠程控制,力求“專而精”。並高度模仿 Windows資源管理器,簡單易用,我們的目標是使訪問遠程驅動器就象訪問本地的一樣方便。
網絡神偷 網絡神偷
⒉強大的文件操作功能:可對本地及遠程驅動器進行:新建文件、新建文件夾、查找文件、剪切、複製、粘貼(包括:本地文件操作、上傳、下載、同遠程主機的文件複製與移動)、本地運行、遠程運行、重命名、刪除、查看、修改驅動器屬性、修改文件屬性等操作,支持斷點續傳,並且所有操作均支持多選及文件夾操作。
⒊運用了“反彈端口原理”與“HTTP隧道技術”:
“反彈端口原理”:
服務端主動連接客户端,因此在互聯網上可以訪問到局域網裏通過 NAT 代理(透明代理)上網的電腦,並且可以穿過防火牆(包括:包過濾型及代理型防火牆)。

網絡神偷專家建議

建立良好的安全習慣,不打開可疑郵件和可疑網站;關閉或刪除系統中不需要的服務;很多病毒利用漏洞傳播,一定要及時給系統打補丁;安裝專業的防毒軟件進行實時監控,平時上網的時候一定要打開防病毒軟件的實時監控功能。

網絡神偷刪除辦法

啓動殺毒軟件,點系統啓動項,在裏面找到Iexplorer.exe,點禁止。病毒自己就不會打開了。之後重啓,進入安全模式掃描病毒並刪除病毒。
或者藉助安全軟件(如3бO安全衞土等),在任務管理器中捕捉到lexplore.exe後右鍵追蹤到文件,中斷進程,然後將上級目錄解除佔用或強制刪除。

網絡神偷軟件技術

HTTP隧道技術
把所有要傳送的數據全部封裝到 HTTP 協議裏進行傳送,因此在互聯網上可以訪問到局域網裏通過 HTTP、SOCKS4/5代理上網的電腦,而且也不會有什麼防火牆會攔截。
所以,
本軟件支持所有的上網方式,既“只要能瀏覽網頁的電腦,網絡神偷都能訪問!”。本軟件可以訪問以下上網方式的電腦:撥號上網、ISDN、ADSL、DDN、Cable Modem、NAT透明代理、HTTP 的 GET 型代理、HTTP 的 CONNECT 型代理、SOCKS4 代理、SOCKS4A 代理、SOCKS5 代理。
⒋先進的服務端上線通知功能:服務端通過 UDP 協議發消息給客户端,在“服務端在線列表”裏可以看到服務端的主機名、互聯網的IP地址、局域網的IP地址、地址位置、上線時間、在線時長,所有信息一目瞭然,實時性高、安全可靠,是 Email 通知方式所不能比的。而且還有運用了“HTTP隧道技術”的服務端上線通知功能。
⒌所有公開的數據均用 RSA數據加密

網絡神偷軟件原理

網絡神偷反彈端口

a.“反彈端口原理”簡介:
如果對方裝有防火牆,客户端發往服務端的連接首先會被服務端主機上的防火牆攔截,使服務端程序不能收到連接,軟件不能正常工作。同樣,局域網內通過代理上網的電腦,因為是多台共用代理服務器的IP地址,而本機沒有獨立的互聯網的IP地址(只有局域網的IP地址),所以也不能正常使用。就是説傳統型的同類軟件不能訪問裝有防火牆和在局域網內部的服務端主機。
但往往是道高一尺、魔高一丈,不知哪位高人分析了防火牆的特性後發現:防火牆對於連入的連接往往會進行非常嚴格的過濾,但是對於連出的連接卻疏於防範。於是,與一般的軟件相反,反彈端口型軟件的服務端(被控制端)主動連接客户端(控制端),為了隱蔽起見,客户端的監聽端口一般開在80(提供HTTP服務的端口),這樣,即使用户使用端口掃描軟件檢查自己的端口,發現的也是類似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED 的情況,稍微疏忽一點你就會以為是自己在瀏覽網頁(防火牆也會這麼認為的)。看到這裏,有人會問:既然不能直接與服務端通信,那如何告訴服務端何時開始連接自己呢?答案是:通過主頁空間上的文件實現的,當客户端想與服務端建立連接時,它首先登錄到FTP服務器,寫主頁空間上面的一個文件,並打開端口監聽,等待服務端的連接,服務端定期用HTTP協議讀取這個文件的內容,當發現是客户端讓自己開始連接時,就主動連接,如此就可完成連接工作。
本軟件用的就是這種“反彈端口”原理,可以穿過防火牆,甚至還能訪問局域網內部的電腦。據作者所知,在同類軟件中,本軟件是唯一使用這種方法的,祝賀你!你幸運的選擇了它。
b.“HTTP隧道技術”簡介:
簡單的來説,就是把所有要傳送的數據全部封裝到 HTTP 協議裏進行傳送,就可以通過 HTTP、SOCKS4/5 代理,而且也不會有什麼防火牆會攔截。
我們都知道其它木馬只能訪問撥號上網服務端,而因為網絡神偷使用了“反彈端口原理”所以它不僅能訪問撥號上網的服務端,更可以訪問局域網裏通過 NAT 代理(透明代理)上網的服務端。而使用“HTTP隧道技術”以後,它甚至可以訪問到局域網裏通過 HTTP、SOCKS4/5 代理上網的服務端。這樣, 就幾乎支持了所有的上網方式,也就是説“只要能瀏覽網頁的電腦,網絡神偷都能訪問!”。
服務端支持以下上網方式:
撥號上網
ISDN
ADSL
DDN
Cable Modem
NAT透明代理
HTTP的GET型代理
HTTP的CONNECT型代理
SOCKS4 代理
SOCKS4A 代理
SOCKS5 代理
在上述上網方式下,均可正常工作。

網絡神偷上線通知

互聯網如此之大,覆蓋全球,我們如何標識並找到上面的任何一台電腦呢?答案是:IP地址,每台連網電腦都會被分配一個IP地址,這個IP地址是全球唯一的,就象你家的門牌號碼,別人可以根據這個找到你。同樣,IP地址分配是有規律的,可以根據IP地址分配表查出相應的地理位置(本軟件內置IP地址分配表)。大多數互聯網用户是撥號上網的,撥號上網的IP地址是由ISP(互聯網接入服務提供商,例如163、169)動態分配的。兩台電腦想要連接就必須要知道對方的IP地址,就象想去你家串門就必須知道你的住址。因此,服務端如何把自己的IP地址告訴客户端就成了一個大問題,也就是服務端上線通知。最常用的方法是Email通知,即服務端上網後,發送自己的IP地址到事先指定的郵箱,客户端使用者只要去收信就行了。這種方面雖然最常用,但有很大不足,首先Email的實時性得不到保證,時慢時快,這與發信服務器的線路質量有很大關係。其次,越來越多的發信服務器設了“發信認證”功能,發信也要郵箱的密碼(原來只有收信才要),這就給服務端發信增加了困難,服務端不帶密碼無法發送,帶密碼則有可能被別人破出來。本軟件用的是另一種更先進的方法:UDP通知,客户端上網後,會將自己的IP地址寫到主頁空間的指定文件裏,服務端定期讀取這個文件的內容,就可得到客户端的IP地址,並將自己的一些其它信息(主機名、IP地址、上線時間等等)用UDP協議發送給客户端。客户端接收後,將數據解釋並顯示在“服務端在線列表”裏,服務端情況一目瞭然。可能有人會擔心:主頁空間上的文件誰都可以訪問(就象瀏覽網頁),自己的IP地址會不會讓別人看到?這個問題作者當然已經想到,所有可能被別人看到的數據(包括主頁空間上的)都已經加密了,就算別人拿到了也沒用。而且數據加密密碼是由用户自行設置的,就連軟件作者也無法破解。
網絡神偷還有運用了“HTTP 隧道技術”的服務端上線通知功能,即如果服務端是通過 HTTP、SOCKS4/5代理上網的,無法再使用 UDP 上線通知方法,它就會自動使用“HTTP 隧道技術”的上線通知方法:先用“HTTP 隧道技術”與客户端建立一條 TCP 連接,以後每分鐘再通過此連接向客户端發送上線通知數據。(“HTTP 隧道”主機的圖標與普通主機不同,圖標前面增加了一個金黃色的小管道)