菜鸟网吧入侵小记等

以德福人

周末回家刚到小区门口，就遇见楼上的邻居小胖。于是我上前打招呼：“小胖，又从网吧回来呀?”小胖毫不隐瞒地回答：“卡上没有多少钱了，我还得省着点用，今天提早收工。”我调侃他道：“你天天交钱给网吧，再多的钱也得用光呀!”小胖附和道：“可不是吗!所以我最近就在找给卡里免费充值的方法，看过一些文章，但水平低了玩不转。”

注：本文仅为技术研究，文中相关软件有技术研究兴趣的读者可在网上搜索下载。

破解网吧服务器

我拍拍小胖的肩膀，问道：“你卡里的钱去一趟网吧还够吧?我正好没什么事，可以教你一个方法。”小胖刚露出欣喜之色，我立马打断他：“先别高兴，以后晚上不许在家里跑来跑去搞什么减肥，还让楼下的人睡觉不了!”待小胖做出保证后，我们来到网吧，找了一台电脑坐下。

首先，我运行从网上下载的PcShare木马客户端，点击工具栏中的“创建客户”按钮。我告诉小胖：“PcShare木马服务端的配置操作很简单，我这里就不细讲了，网上的介绍很多。生成的服务端程序先放一边，我后面要用到。你看，在配置窗口中我们还可以看到本机的IP地址是192.168.0.28(如图1)，而这就等于找到了局域网里的lP地址段。”

说完，我又运行了一款叫《网吧!433口令爆破工具》的小软件。在“开始”和“结束”选项中，分别填写扫描的起始IP地址192.168.0.1和结束IP地址192.168.0.255。点击“开始”按钮，就开始扫描破解了……。之所以选用这款小软件，是因为网吧管理软件使用的SQL数据库默认开放的就是系统中的1433端口(即只有网吧服务器才开放1433端口)。几秒钟之后，在结果框里面就能看到网吧服务器的IP地址和破解出来的数据库账号了(如图2)。

连接数据库

小胖不解地问：“我们拿着这个数据库的账号有什么用啊?”我告诉小胖：“当我们获得网吧服务器中的数据库账号后，就可以用《SQL综合利用工具》这款数据库软件，连接数据库进行控制操作。譬如轻松实现包括上传木马在内的一些功能。”

下载并运行《SQL综合利用工具》，点击左上角菜单中的“设置”命令。在打开的“设置SQL服务器”窗口中，“服务器名称／IP”处输入网吧服务器的lP地址，“用户名”和“密码”处输入数据库的账号，“数据库名称”一般填写Master这个主数据库名即可。所有的信息输入完毕后，点击“确定”按钮，开始连接网吧服务器的数据库(如图3)。

通过软件主界面下的提示栏，可以看到连接是否成功。这时我叮嘱小胖：“连接成功并不代表可以进行控制，这主要取决于网吧管理员对数据库的权限设置。”说完，我点击“利用目录”菜单中的“执行Dos命令”项，在弹出窗口上方的输入框中输入了“DIRC：”命令。点击“执行”按钮后，如果在窗口下方能看到c盘中的目录和文件，则说明连接成功后是可以进行控制操作的(如图4)。

上传木马来加钱

小胖问我：“成功控制网吧服务器的数据库后，就该上传木马了吧?”我肯定道：“对!”首先，我关闭了“执行DOS命令”窗口，点击“利用目录”菜单中的“上传文件”项，在弹出窗口中通过“浏览文件”按钮导人Pcshare木马的服务端程序。然后，在“传文件后保存在”项中，设定服务端程序在网吧服务器中的保存路径及文件名，我这里设置的是c:server.exe(如图5)。最后，点击“开始上传”按钮，Pcshare木马的服务端程序就上传到网吧服务器中了。

再次打开“执行DOS命令”窗口，在窗口上方的输入框中输入“dirc:server.exc”命令，点击“执行”按钮后查看该文件是否存在(这么做是为了确认服务端程序上传成功)。接下来，在窗口上方的输入框中输入“c:server.exe”命令，点击“执行”按钮后服务端程序就在网吧服务器中运行了(如图6)。

最后，我边切换到Pcsbare木马的客户端程序，边对小胖说道：“你看，我们这台电脑中的客户端程序已经和网吧服务器上的服务端程序连接成功了!现在选择列表中的上线信息，再点击工具栏中的‘远程桌面按钮，就可以看到网吧服务器的屏幕内容。只要趁网管不在时，在‘远程桌面窗口中操作鼠标和键盘，找到自己的上网卡号后修改金额，就能免费上网了……”

听完我的讲解后，小胖高兴地说：“太谢谢你了!走，先吃烧烤去，我请客!”我倒，他不是说没钱吗?

病毒播报

瑞星全功能安全软件

2010三年版

“在线游戏窃取者木马”变种ZWWTerjan.PSW.Win32.Online Game.zww

警惕程度★★★木马病毒通过网络传播

依赖系统：Windows NT/2000/XP/2003

该病毒通过挂马网站传播。运行后，它会驻留系统后台，盗取多款流行网络游戏的账号及密码，给网游玩家带来很大的损失。

“IRC波特后门”变种XIJ

Backdoor.Win32.lRCbot.xij

警惕程度★★★后门病毒通过网络传播

依赖系统：Window5 NT/2000/XP/2003

该病毒是基于IRC的后门程序。它先复制自身到用户电脑的驱动程序目录下，然后开设后门，让黑客可以通过IRC软件对用户电脑进行控制，如对外发动攻击等。

“AV终结者木马”变种CEY

Trojan.Win32.KiIIAV.cey

警惕程度★★★木马病毒通过网络传播

依赖系统：Windows NT/2000/XP/2003

该病毒会关闭多款杀毒软件的进程，并从黑客指定的网站下载木马病毒到本机运行。它还会向移动存储设备(如闪盘、数码播放器和移动硬盘等)中写入自运行的病毒脚本，以扩大传染面。

“QQ尾巴”综合蠕虫

Worm.Win32.Agent.awk

警惕程度★★★蠕虫病毒通过网络传播

依赖系统：Windows NT/2000/XP/2003

该病毒利用HS08-067漏洞，感染同网段的电脑。它不仅能连接黑客服务器以更新病毒，还能篡改用户的浏览器首页，并根据黑客服务器上的信息随时更新首页。

这段时间，“AV终结者木马”变种CEY(Trojan.Win32.KillAV.cey)和“QQ尾巴”综合蠕虫(Worm.Win32.Agent.awk),这两个病毒值得注意。瑞星专家建议使用《瑞星全功能安全软件2010》进行查杀，局域网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星全功能安全软件2010》基于瑞星“云安全”系统，对挂马网站、恶性病毒与盗号木马提供完整的安全解决方案，近期将升级至22.13版本，望广大用户及时升级。如遇病毒，请拨打反病毒急救电话010－82678800，也可以登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。