6.2.4 远程访问的特洛伊木马

远程访问程序是人们通过电话或Internet访问另一台计算机时使用的合法工具。例如，销售人员也许需要访问存储在公司的某台计算机中的文件，或技术人员不能亲自到场，需要在线排除计算机的故障。pcAnywhere、Carbon Copy、LapLink都是流行的远程访问程序，甚至Windows XP中内置的远程帮助功能也是。远程访问特洛伊木马(Remote Access Trojan，RAT)其实就是潜入受害人计算机的远程访问程序。像pcAnywhere等远程访问程序都是用户自己有意识地安装的，而RAT则是先诱使受害人在计算机上安装特洛伊木马。一旦安装，RAT就允许一个看不见的用户(他可能在世界的任何一个角落)完全访问这台计算机，就像他本人坐在键盘前一样，您在计算机上做什么、看到什么，他都能看到。

黑客使用RAT能删除硬盘中的文件，把文件(包括病毒或其他特洛伊木马)复制到您的机器，在用户当前运行的一个程序中输入信息， 重新排列文件夹，改变登录密码，弹开CD-ROM驱动器，在扬声器中播放奇怪的噪音，重启计算机，或观察、记录您输入的每个按键，包括信用卡号码、Internet账户密码、电子邮件消息。

RAT分为两个部分：一个服务器文件和一个客户文件。服务器文件在受害人的计算机上运行，客户文件在黑客的计算机上运行。任何计算机，如果无意中安装了特定木马程序的服务器文件，黑客只要运行正确的客户文件，就能连接到那台计算机。

为了诱骗用户安装某个特洛伊木马的服务器文件，黑客经常把该文件伪装成游戏或实用程序，如图6-2所示。当受害人运行木马时，服务器文件把自己安装到计算机上，等着拥有相应的客户文件的人访问这台计算机。

图6-2 为诱骗受害人，很多黑客把木马的服务器文件伪装成可以玩的游戏

一旦服务器文件成功安装后，它在您的计算机上就会打开一个端口，允许您的计算机发送和接收数据。很多黑客会系统地搜索计算机网络(如连接到电缆或DSL调制解调器的计算机)，并试着运行不同特洛伊木马的客户文件。他们的希望就是，如果他们或别的黑客设法用一个服务器文件感染了计算机，他们就能使用相应的客户文件连接到这台计算机。

有些特洛伊木马甚至会在安装后偷偷地给黑客发一封电子邮件，通知他服务器文件已经成功安装在目标计算机上，并提供目标计算机的IP地址。黑客一旦得知被感染计算机的IP地址，他就可以通过特洛伊木马访问该计算机。如果这个黑客用心特别险恶，他会把他的发现公诸于众，让拥有相应木马程序的黑客没完没了地访问那台计算机。

1. Back Orifice(BO)

最有名的远程访问特洛伊木马是Back Orifice (绰号BO)。起这个名字，就是模仿Microsoft自己的Back Office程序，有嘲讽的意味。只有为数不多的几个特洛伊木马有自己的站点，Back Orifice 便是其中一个(http://www.cultdeadcow.com/tools/bo.html)。

Cult of the Dead Cow(http://www.cultdeadcow.com)是一个地下计算机组织，它最初把Back Orifice写成一个木马程序，并于1998年发布。这个程序立即引起了轩然大波，世界各地的黑客争相用Back Orifice的服务器文件感染计算机，并访问其他人的计算机。

1999年，Cult of the Dead Cow发布了Back Orifice的升级版本Back Orifice 2000(或BO2K)。Back Orifice 2000和Back Orifice不同，它提供了完整的C/C++源代码，以便让人了解程序的工作方式。另外，Back Orifice 2000还提供了一个插件功能，所以全世界的程序员都可以自己编写插件，扩展它的功能。

随着Back Orifice 2000的发布，Cult of the Dead Cow去掉了程序的黑客根，把BO2K提升为Windows的一个远程管理工具，使它和pcAnywhere与Carbon Copy相提并论，成为同样的远程访问程序。除了免费提供Back Orifice 2000和它的源代码之外，Cult of the Dead Cow还把BO2K的功能和商业性的远程访问工具进行比较，让业界的厂商更加难堪。

除耗费金钱外，商业性的远程访问程序占用的磁盘空间和内存也远远大于BO2K。BO2K只要求1MB多一点儿的磁盘空间和2MB的内存，而Carbon Copy要求20MB的磁盘和8MB的内存，pcAnywhere则更多，要求32MB的磁盘和16MB的内存。也许更令人惊讶的是，BO2K和Carbon Copy都提供隐形远程安装功能，也就是说，两个程序都能在用户不知情的情况下远程访问用户的计算机！

虽然计算机界的人士觉得Back Orifice 2000是个廉价的黑客工具，对它避之唯恐不及，但它不比Carbon Copy更像个黑客工具。而且考虑到编写这个程序的组织和它最初的意图，Back Orifice 2000其实走的是介于特洛伊木马程序和合法的供管理员使用的远程访问工具之间的一个路线。如果谨慎地使用，Back Orifice 2000可以是一个无价的程序，但如果不择手段地使用，它就会成为一件危险的武器。

2. SubSeven

SubSeven(见图6-3)是另一个越来越流行的特洛伊木马。SubSeven除了具备远程访问的标准特征(删除、修改、复制文件和文件夹)外，还能盗取ICQ标识号码和密码，接管一个即时消息传递程序，如AOL即时消息器，并让受害人的计算机用计算机产生的声音朗读文本。

图6-3 SubSeven客户程序在一个用户友好的界面中列出木马的所有功能

3. The Thing

像BO2K和SubSeven这样的RAT，其服务器文件大小从300KB到1.2MB不等或者更大。要隐藏这么大的文件可能不太容易，所以黑客有时使用比较小的特洛伊木马，如The Thing。

The Thing只占40KB的空间，因此在链接或绑定到其他程序时能保证不被发现。The Thing不能像其他RAT那样让您完全访问受害人的计算机。它仅仅打开一个端口，以便黑客事后可以上传一个比较大的RAT，如Back Orifice或SubSeven，它们的确可以完全控制计算机。一旦黑客上传并安装比较复杂的RAT之后，就可以从受害人的计算机上删掉The Thing，然后使用其他的RAT为非作歹。