知道是木马在活动，但又有谁能清晰解读其中奥秘呢？

zmc837 · 发表于 2006-8-14 11:04:48

今天早上上班开机监控，发现4ac5在进行异常网络活动，已经截取了数据包以及图片，对此木马的网络活动大概是这样解读：4ac5机器首先从对192.168.3.0/24网段进行arp扫描，扫描结束后，主动和221.231.139.89主机进行完整的tcp三次握手，然后把收集到的信息(以邮件的方式？在http的get请求中有：host:mail.nicemm.cn）传输给221.231.139.89主机然后置tcp连接出在半关闭状态，然后ping主机jupiter.sina.com.cn主机，待此主机回显后又重复一次arp地址扫描.........不断重复循环上面活动。

疑问一：怎样解读两个http包？
疑问二：把收集到的信息是否以邮件的方式传送给211.231.139.89主机？
疑问三：把tcp回话置半关闭状态后为什么要ping jupiter.sina.com.cn　后才进行下议论arp扫描？

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
请教各位兄弟，劳烦给一个清晰的解读思路！

[ 本帖最后由 zmc837 于 2006-8-18 19:57 编辑 ]

zmc837 · 发表于 2006-8-14 11:05:36

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

菜鸟人飞 · 发表于 2006-8-14 14:52:37

疑问一：怎样解读两个http包？

第1个，是客户端请求服务器的某个文件，这里是http://mail.nicemm.cn/xy/update.ini，第2个HTTP数据包是服务器向客户端的反馈，显示的是信息是503 Service Unavailable，表示客户端请求的服务不可用（但我不相信，木马故意弄一些这种东西骗我们相信它没有获取我们什么文件），但我想我们的数据已经正常的发送到目的地了。

疑问二：把收集到的信息是否以邮件的方式传送给211.231.139.89主机？

我认为HTTP方式提交的可能性较大，而不是邮件发送，虽然它的主机是mail.nicemm.cn。

疑问三：把tcp回话置半关闭状态后为什么要ping jupiter.sina.com.cn　后才进行下议论arp扫描？

可能jupiter.sina.com.cn和211.231.139.89有密切的联系，即是该木马软件的跳板之类（我也是猜测）。

zmc837 · 发表于 2006-8-15 15:21:05

好，非常感谢菜版解读，学习了！这段时间我们这里的网络病毒影响不断，也抓了不少病毒活动的数据包，如果大家感兴趣的话，可以拿出来大家一起研究

菜鸟人飞 · 发表于 2006-8-15 15:29:05

我想我们都非常渴望看到您抓到的数据包的，贡献出来啊，呵呵。
发到数据包样本版块吧，谢谢！

zzq_friend · 发表于 2006-8-17 16:58:10

我也想看看哟

知道是木马在活动，但又有谁能清晰解读其中奥秘呢？

评分