常见的木马程序_木马程序客户端

app内有木马病毒有资金风险

使用借贷APP一定要从正规渠道下载，现在一些新型网络贷款团伙通过在APP中嵌入木马病毒来控制借款人手机，从而达到催收回款的目的。近期，上海警方就打掉了一个这样的团伙，涉案成员遍及全国各地。

软件嵌入木马病毒

今年8月，上海警方接到吴先生报案，称其受到了暴力催收。吴某表示，8月初其在一网站论坛上看到一款贷款广告，宣称不需要提供个人征信并且放款快，只需要在申请借款时向工作人员提供手机的品牌及具体参数即可，这让他很心动。

在与客服交流中，吴先生得知放贷额度是根据其手机回购价值进行评估，一般按照20%发放，所以需要提供自用手机的详细参数。吴先生向客服提供了手机的相关信息和登录账号后，得到了客服发来的链接，吴先生打开链接下载了一款名为“聚宝盆”的贷款软件。

客服告知吴先生，评估其手机价值后得到其贷款额度为400元，但实际只能放款200元，剩下200元将作为利息收取，3天后吴先生总共需还款400元，如逾期，每天将收取100元的逾期费。得到吴先生的认可后，客服给他转账200元。

3天过后吴先生未按时还款，这时发现自己的手机无法正常操作，就连恢复出厂设置也不能使手机恢复正常，客服告诉吴先生，这是因为未还款导致手机被锁死。吴先生于是向警方报案。

警方在调查中发现，这是一起以品牌手机贷的名义实施高息套路贷的骗局。今年9月，警方在掌握具体证据后对该团伙进行了抓捕。据了解，27岁的朱某是团伙核心人物，他委托技术人员开发了名为聚宝盆的手机软件，该贷款软件实质嵌入了木马程序，能在后台远程控制下载软件的手机。在业务开展过程中，朱某发展了冷某等下线，教会其使用该木马程序远程控制他人手机。冷某还在辽宁租赁办公场所，制定放款额度、提供收款账号，同时雇佣杨某、王某、赵某等人进行放贷、催收、锁机等操作。

今年7月起至9月该团伙落网，涉案流水金额超过50万元，非法获利逾26万元。目前，朱某、冷某等5人因涉嫌非法经营罪被检察机关依法批准逮捕，其余8名犯罪嫌疑人已被采取刑事强制措施。

窃取隐私信息意在控制用户

通过下载工作人员发送链接中的借贷APP软件造成损失的案例比比皆是。因为没有经过正规应用商店的筛选，许多软件被轻易嵌入木马插件，轻则收集用户隐私信息，严重则直接让用户的机器瘫痪。

在相关新闻报道中，一些小型贷款机构为催回款项，喜欢在贷款APP中嵌入一些程序，实时获取用户的具体位置。有用户在黑猫投诉上反应，其在一款借贷APP上借款逾期之后，实时收到了自己所在位置的短信，他怀疑自己手机被监视了。

一些网贷APP嵌入的木马病毒并不会随着应用卸载而消失，在相关论坛中，有讨论者表示，他卸载了APP之后，新录入的联系人信息仍然泄露出去，并且被催收公司发送骚扰信息。专业人士表示，这种情况的出现是因为手机之前下载的APP被嵌入了插件或木马，即使卸载软件，插件还是存在手机里，继续窃取用户隐私信息。用户一般通过格式化手机可以达到彻底清除病毒。

在常见恶意催收方式中，还有通过读取债务人手机相册和媒体文件，并将隐私照片发送给债务人的情况。这种方式虽然并未通过嵌入插件等方式来非法获取，而是通过在默认同意的“隐私协议条款”加上授权读取相关隐私信息的选项。但这种过度搜集信息的方式仍然是不合规的，特别是个人信息保护法实施后，过度搜集与提供的服务无关的个人信息将会受到严厉打击。

恶意催收的屡禁不止一定程度上也反映出借贷平台对逾期坏账的担忧。一些平台因为前期风控问题在放贷过程中授信不严格、审核不规范等，导致后期需要催收的逾期贷款居高不下。面对一些老赖和撸贷族的恶意逃废债，这些机构通过正规催收方式催回款的占比极低，于是它们选择了铤而走险的方式。而其他大型的委外催收机构，面临的同业竞争加剧，也需要提高自己的催收回款能力，在给业务员施加极大的业务要求时，没能开发出更优质的催收方式，这也导致了使用违法催收方式的增加。

什么是木马服务端?

首先应该明确的是受害者的机器上运行的木马程序我们称之为服务端，控制者机器上运行的我们称之为客户端(其实对于现代的木马，已经很难说谁是客户，谁是服务了，不过我们还是继续用这种叫法)。另外虽然Windows9x仍然有巨大的用户基础，但是Windows9x向Windows XP迁徙只是早晚问题，所以这里的讨论主要是针对NT/2000/XP平台的。

1.使用TCP协议，服务端侦听，客户端连接

这是最简单，最早，最广泛使用的一种通讯方案。使用过冰河或者被冰河客户端扫过的对此一定不会陌生。这种通讯方案是服务端在宿主机器上开一个TCP端口，然后等待客户端的连接，在通过对客户端的认证后，客户端就可以控制服务端了。由于是建立在TCP协议基础上，所以通讯的可靠性是得到保证的。但是通讯的安全性却很成问题。首先，使用像fport,tcpview pro这样的工具可以很容易的发现在某一端口上侦听的进程，以及进程对应的可执行文件。其次，在安装了防火墙的机器上，当客户端连接到服务端时，很容易引起防火墙报警。

2.使用TCP协议，客户端侦听，服务端连接

这就是所谓的反向连接技术了。为了克服服务端在某一端口上侦听易被发现这一缺点，现在服务端不再侦听端口，而是去连接客户端在侦听的某一端口。这样用一般的port scanner或者fport就很发现不了服务端了。而为了更好的麻痹宿主机，客户端侦听的端口一般是21,80,23这种任何人都要访问的端口。虽然在安装了防火墙的机器上，服务端去连接客户端还是要引起防火墙报警，但是一个粗心的用户很可能会忽略“应用程序xxxxx试图访问xxx.xxx.xxx.xxx通过端口80”这样的警告。

这种反向连接技术要解决的一个问题是，服务端如何找到客户端。由于一般客户端都是拨号上网的，没有一个固定的IP，所以客户端IP不可能硬编码在服务端程序中。当然由于拨号上网用户的IP一般都是处于一个固定的IP地址范围内，服务端也可以扫描这个范围，然后根据被扫描主机的反馈来确定是否是自己的客户端，但是服务端扫描一个IP地址范围也太……另一个方法是客户端通过一个有固定IP或者固定域名的第三方发布自己的IP，实现的方法就很多了，比如通过一个公共的邮箱，通过一个个人主页，就看你有多大的想象力的。

3.使用UDP协议，服务端侦听，客户端连接;客户端侦听，服务端连接

方法和安全性与使用TCP协议差不多。需要注意的是UDP不是一个可靠的协议，所以，必须在UDP协议的基础上设计一个自己的可靠的报文传递协议。

4.解决防火墙问题，无论是服务端被动侦听，还是服务端主动连接，在服务端和客户端试图建立连接时都会引起防火墙得报警

毕竟粗心得用户不会很多，所以，解决防火墙报警是服务端必须要解决的一个问题。一种方法是代码注入，服务端将自己注入到一个可以合法的与外界进行网络通讯的进程(比如 IE, ICQ, OICQ, TELNTED, FTPD, IIS等)的地址空间中，然后或者可以以一个新线程的形式运行，或者只是修改宿主进程，截获宿主进程的网络系统调用(WinSock)。后者的实现可能要麻烦一些。如果是以新线程的形式运行，那么然后或者可以被动侦听，或者可以主动连接。

无论哪种情况都不会引起防火墙的报警(当然不是百分之百不会引起防火墙报警)。但要注意的是如果是被动侦听的话，比如寄生在IE内，用fport会发现IE在某一个端口侦听，这有可能会引起细心的用户的警觉。所以比较好得方法是在新线程内去主动连接客户端，而且连的是客户端的80端口;如果是寄生在OICQ内，何不连接客户端的8000端口。使用代码注入需要服务端具有若干特权，考虑到一般用户都是以Admin身份启动NT的，这应该不是一个问题(如果服务端是作为一个service启动的话，就更没问题了)。

5.再讨论一下服务端主动连接时客户端IP的公布问题

使用第三方公布客户端IP不是一种可靠的方法。比如如果是通过一个个人主页发布客户端IP的话，一旦由于种种原因，这个个人主页被主页提供商取消的话，服务端就找不到客户端了。而这种个人主页被主页提供商取消的可能性是很大的。同时客户端也要冒暴露自己的IP的风险。所以更好的方法是客户端通过某种方法主动告诉服务端自己的IP和端口，然后服务端来连接。这样可以保证最大的可靠性，安全性和灵活性。

服务端怎么收到客户端的通知呢?一种方法是我们截获其他进程收到的TCP数据或者UDP包，然后分析截获的数据，从中确定是否客户端发来了一个报告其IP的数据片断。另一种方法是使用RAW socket来收听ECHO REPLY类型的ICMP包，在ICMP数据包的数据去就包含了客户端IP。而对于普通用户来说，由于要上网浏览，这样的ICMP包是很少过滤掉的。

6.用ICMP来通讯

既然客户端可以通过发一个ICMP(ECHO REPLY)来告诉服务端它的IP，那为什么不把所有服务端和客户端的通讯都建立在ICMP的基础上呢?服务端向客户端发ICMP(ECHO REQUEST)，客户端向服务端发ICMP(ECHO REPLY)，然后可以在ICMP基础上建立一个自己的可靠数据报通讯协议。如果不怕烦的话，还可以建立一个TCP over ICMP。由于一般的用户这两类ICMP包都是设为无警告放行的，这种方法的隐秘性还是很强的。

7. 用自定义的协议来通讯

我们知道IP头的协议字段指定了这个IP包承载得数据的协议，比如TCP,UDP,ICMP等等。我们完全可以把这个字段设为我们自己定义的值(80)，定义自己的通讯协议。不过估计这种IP包将会被所有的防火墙过滤掉。

8.关于服务器上的木马的通讯隐藏

前面所说都是针对个人用户(大部分都是拨号用户，包括Modem,ISDN,ADSL,FTTX+LA,Cable Modem)。对这类机器来说，一般都没有开什么服务，而且一般都使用了个人防火墙，同时ICMP ECHO REPLY/REQUEST都是放行的，所有才有我们上述的各种方案。而对于服务器来说，至少要开HTTP服务，同时，又一般位于专门的防火墙之后。这个专门的防火墙很可能过滤掉除类型为TCP，且目的端口为80的IP包之外的所有的IP包，更不要说各类ICMP包了。向下的方案通不过，我们可以试试向上的方案。一种方法就是注射到IIS服务的进程空间中，然后在IIS接受到木马客户端的请求前来个预处理，在IIS将数据发给木马客户端时来个后处理，不过我不知道怎么实现，不知哪为高手知道。

通讯隐藏技术只是木马隐藏诸技术中得一部分，但也是最重要的一部分。因为他不但要保护木马，还要保护木马得控制者，所以不管是木马编写者，还是防火墙编写者，都应该对这一部分给于足够的重视。

木马有多少种，什么是客户端？？

木马有很多种，比如恶意木马

盗号木马

下载者等等。。

所谓的客户端其实是指生成的在被盗者机器上运行的木马，由木马生成器生成。

怎样配置或修改客户端木马程序？

配置木马要用木马软件的客户端，如灰鸽子的客户端

但是一开始配置出来的都会被杀毒软件杀到的

如果你想不被杀软探测到 可以买客户端的VIP 或者加最新的壳 不过都比较难实现

最好的方法就是免杀了 可以加壳 加花什么的

给你推荐一套免杀教程，说的十分详细

教程1

教程2

教程3

另：

1.内存免杀思路

;goto=lastpost

-这个文章写的非常好，不久前网上看到的，值得看一下

2.

这个是世界反病毒网，里边有很多款世界著名杀软，免费在线查毒。如果你想测试你做的客户段的免杀程度的话，就来这里测试好了

注意：上传样本的时候一定要选择“不发送病毒样本”，不然就会上报给杀软公司，这样你辛辛苦苦做的免杀就白做了。

===========================================================

希望你能成功免杀，如果实在不行的话，随便加几个壳什么的试试

参考资料":

什么是“木马程序”？

什么是木马

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

木马（Trojan）这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事).

它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

木马的种类

1、普通的以单独EXE文件执行的木马

2、进程插入式木马

3、Rootkit类

4、其他

木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.

还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!

什么是木马软件？

木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。

“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。