聰明基因木馬

工作原理

聰明基因木馬圖文檔案

聰明基因的服務端運行後會生成三個檔案，分別是：C:\WINDOWS\MBBManager.exe、C:\WINDOWS\Explore32.exe，以及C:\WINDOWS\system\editor.exe。這三個檔案的大小都為257,963位元組，用的都是HTM檔案圖示。

MBBManager.exe用來在啟動時載入運行，editor.exe用來和TXT檔案關聯，如果你發現並刪除了MBBManager.exe，你以為你清除了聰明基因？不！一旦你打開文本檔案，editor.exe就被激活！它將再次生成守護進程MBBManager.exe！Explore32.exe則默默的躲在C:\WINDOWS\system下伺機而動，一旦你以為這是系統檔案不小心運行了她，那你就等著挨“宰”吧！

聰明基因木馬圖文檔案

聰明基因是典型的檔案關聯木馬。用來在每次開機就運行的MBBManager.exe隱藏在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下；它會建立串值“MainBroadBackManager”，其鍵值為C:\WINDOWS\MBBManager.exe，這樣就使得MBBManager.exe每次在開機時就被載入運行；用來關聯TXT檔案打開方式的editor.exe躲在註冊表HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，它將系統默認鍵值由C:\WINDOWS\NOTEPAD.EXE%1改為C:\WINDOWS\system\editor.exe%1，由此使得TXT檔案打開方式由記事本程式notepad.exe變為木馬程式editor.exe！這樣一來使得聰明基因很難被清除乾淨——哪一天不得打開幾次文本檔案？每次打開文本檔案其實就是在運行editor.exe，被控端就是這樣被套牢的！

注意：以上所談到的，都是按照服務端未被配置的默認情況來說的，聰明基因允許控制端用戶自由定製安裝後的木馬檔案名稱和所使用的連線埠，因此如果中了聰明基因，那么你看到的檔案名稱完全可能與此不同，木馬連線連線埠也可能不是默認的7511，關聯的檔案也可以是EXE、ZIP、JPG、HTM等檔案。本文是按其默認服務端配置來講的(以下所說皆如此)。

危害

聰明基因客戶端共有七大類功能：檔案類、系統類、控制類、監視類、設定類、搜尋類、綜合類。這七大類功能對我們一般用戶是一種巨大的威脅——它們幾乎全部都是用來控制服務端的。

1.檔案相關類：
　
可以對被控端電腦批量上傳、下載檔案，刪除檔案，修改檔案屬性，執行檔案，壓縮解壓縮檔案，查找相應目錄及子目錄下符合條件的檔案，新建資料夾，刪除目錄樹，複製資料夾等功能。

2、系統相關類：
　
可以查看目標機的主機信息，作業系統信息和本系統伺服器信息。

3、控制相關類：

可以鎖定目標機滑鼠、鍵盤，隱藏桌面、系統列、所有驅動器，禁止熱鍵和註冊表編輯器、關機，啟動屏保，更換牆紙，關閉顯示器，遠程重啟與關機。

4、監視相關類：
　
縮小監視目標計算機螢幕，並可用滑鼠或鍵盤直接操作目標計算機，讀取目標計算機所用過的密碼以及密碼環境，讀取CMOS開機口令(針對Award的，有95%以上的成功率)，查看、終止目標計算機正在執行的程式（進程），查看、最小化、最大化、隱藏、顯示、關閉目標計算機上任何視窗，查看、刪除目標計算機上的註冊表啟動項所有鍵名。

5、設定相關類：
　
設定下載檔案的默認路徑，手工加入、刪除目標計算機，下次監聽連線埠，本系統註冊表啟動鍵名，與那類檔案相關聯啟動，上線自動Email通知，更改目標計算機網路名、系統日期時間，創建、刪除共享。

6、搜尋相關類：

用來查找目標機，設定好探索條件（連線埠、子網基址、起始地址、終止地址、搜尋速度），即可搜尋目標主機是否可用。

7、綜合相關類：
在這一項中，有以下一些功能：升級遠程計算機上服務端檔案，重啟伺服器，停止服務，徹底御載伺服器（這一點還不錯）。

由於大多第二代木馬都有這些功能，因此就不多加以介紹了。應該引起我們充分注意的是，聰明基因也有終止服務端進程功能，那么它會終止哪個進程呢？先看看木馬最恨誰呢？當然是防火牆了，如天網、金山毒霸等。所以，這個終止服務端進程功能完全是針對防火牆軟體的，看來防火牆軟體已經成為了木馬們的首要“解決”目標（也是，不“幹掉”防火牆木馬又怎能為所欲為呢）！除此以外，聰明基因最可怕之處是其永久隱藏遠程主機驅動器的功能，如果控制端用戶執行了這個功能，那么受控端可就慘了，想找回驅動器可沒那么容易！

檢測方法

要檢查系統中是否有聰明基因服務端存在，可以採用以下一些方法：

1.檢查檔案

如果懷疑自己中了木馬聰明基因，可以到c:\windows下檢查MBBManager.exe和Explore32.exe是否存在，再到c:\windows\system檢查是否存在editor.exe這個檔案。如果這些檔案存在，那就說明你“中標”了！即便是服務端被改名也可發現聰明基因，因為這三個檔案的長度都是257,963位元組，如果你發現有可疑檔案長度正好是257,963位元組，則基本可以斷定就是聰明基因。另外這三個檔案用的都是HTM檔案圖示，因此在“我的電腦”中點擊“查看”→“資料夾選項”→“查看”，把“隱藏已知類型檔案的擴展名”前面的“√”去掉，就能發現它們都有一個擴展名“exe”，有正常的“exe”檔案用的是HTM檔案的圖示嗎？不用說肯定是木馬啦！

2.檢查註冊表

展開註冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，檢查所有以“run”開頭的鍵值，看其下是否有MBBManager.exe隱藏在其中。

這一步也可通過運行系統配置程式msconfig.exe來檢查，點擊“開始”→“運行”，在對話框中輸入msconfig，回車，點擊“確定”，就調出系統配置程式了，再點擊“啟動”標籤，檢查MBBManager.exe是否在其中被載入運行，如果“有”，那就表示你“喜”中聰明基因。

3.檢查連線埠

由於聰明基因默認連線連線埠是7511，因此我們可以通過檢查該連線埠是否開啟來判斷自己是否中了木馬。具體方法是：關閉所有的軟體，包括防火牆、QQ等(這一步非常重要，否則不容易做出正確判斷)。然後在MS－DOS視窗中運行命令“Netstat－a”，如果發現除了137、138、139等連線埠外，還有7511連線埠開啟，那就說明你中了木馬聰明基因！

當然如果給你下“馬”的人對服務端進行了配置，改變了木馬的連線連線埠，那么檢查7511連線埠就沒有實質意義了。但我們可通過這個方法發現還有哪些連線埠開啟了，如果開啟的連線埠在1024以上，那就要小心了，你很可能中了木馬！

4.檢查進程

要檢查自己是否中了聰明基因，還可以通過查看進程的方式來發現它。查看進程的軟體有很多，“飛鷹超級進程管理器”就是這樣一個工具，它可以用來詳細瀏覽和控制當前記憶體中的所有正在運行軟體(進程)及它們調用的庫檔案。運行飛鷹超級進程管理器，點擊其中的“開始跟蹤記憶體進程”按鈕，則可以看到本機所有調用的進程名稱，

如果你中了聰明基因，那么在其主界面中可以清楚的看到MBBManager.exe這個進程！

清除方法

有手工清除、軟體清除、自動卸裝三種方法供你選擇。

方法一：手工清除

1.刪除檔案

刪除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再刪除C:\WINDOWS\system下的editor.exe檔案。如果服務端已經運行，那么就得用進程管理軟體終止MBBManager.exe這個進程，然後在Windows下將它刪除，也可到純DOS下刪除MBBManager.exe。editor.exe在Windows下可直接刪除。

2.刪除自啟動檔案

展開註冊表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，刪除串值“MainBroadBackManager”，其鍵值為C:\WINDOWS\MBBManager.exe，它每次在開機時就被載入運行，因此刪之別手軟！

3.恢復TXT檔案關聯

聰明基因將註冊表HKEY_CLASSES_ROOT\txtfile\shell\op

方法二：軟體清除

這裡推薦用木馬剋星，木馬剋星是木馬查殺軟體，對付國產木馬最在行了。如果已經中了聰明基因，運行木馬剋星，它會提示發現了聰明基因。

並將C:\Windows下的MBBManager.exe改名為MBBManager.exe_iparmor，同時將MBBManager.exe這個進程關閉，重新啟動機子，查看註冊表就會發現TXT檔案關聯功能恢復正常了！到此可以說將聰明基因基本上清除了。但Explore32.exe仍然在C:\Windows下，editor.exe也依舊在C:\Windows\System下未被清除，改名後的MBBManager.exe_iparmor也是危險分子，為了安全起見（你敢保證永遠不點擊它們嗎？萬一哪天你忘了可怎么辦？），將它們都刪除吧。從這裡我們也能看出木馬剋星在清除木馬時不夠徹底，還需手工刪除相配合，希望能夠加以注意！

方法三：自動卸載

下載並運行聰明基因客戶端控制程式genueclient.exe，點擊主界面下端的“綜合類”標籤，再點擊“自動卸載”，這樣可以將註冊表相關項目全部恢復正常，服務端生成的三個檔案也會安全清除乾淨。

相關詞條

計算機術語4