自從去年諾頓殺毒軟件誤殺系統(tǒng)文件后，它在用戶心目中的地位就有所下降。誰知道這家伙竟不知悔改。在前段時間曝出一個2967端口高危漏洞以后。居然默不作聲地像沒有任何事發(fā)生一樣。任由我等諾頓的用戶成為黑客手中的“肉雞”。真不知道它是保護系統(tǒng)安全的，還是在系統(tǒng)中為黑客充當(dāng)幫兇的。下面。我就模擬黑客的攻擊，讓大家看清這個高危漏洞對我們系統(tǒng)的危害。

前期準備

首先配置一個木馬服務(wù)端，其容量盡量要小，因此我選擇的是GhOst RAT木馬。點擊其客戶端中的“Settings”標簽，在“主機／域名”和“端口”中分別設(shè)置連接的IP地址和端口。這時在“上線字串”中會出現(xiàn)一段字符串，將其復(fù)制后點擊“Build”標簽，在“域名上線字串”中粘貼這段字符串即可。最后，點擊“生成服務(wù)端”按鈕，并將生成的服務(wù)端文件上傳到自己的網(wǎng)絡(luò)空間中。

掃描漏洞

運行《純真IP地址數(shù)據(jù)庫》的管理工具，選擇“地址叫P段”這一項，并在“查詢字段”中根據(jù)需要輸入IP地址信息。比如我這里輸入“美國”，因為美國擁有許多的諾頓用戶，然后點擊“查詢”按鈕就可以獲得大量的美國IP地址段。下面運行《諾頓自動溢出機》，它會自動識別操作系統(tǒng)的版本，從而采取相應(yīng)的掃描方式。比如WinXP默認的掃描方式是TCP，而Win2000和Win2003則默認為SYN掃描。現(xiàn)在選擇一段美國的IP地址填入窗口，點擊“掃描漏洞”按鈕。

定制黑招

在利用《諾頓自動溢出機》進行漏洞掃描的時間里，還需要進行其他內(nèi)容信息的修改。打開《諾頓自動溢出機》程序目錄中的up.txt文件，其中的腳本代碼有兩個作用：一是添加一個名為admin的隱藏的管理員賬戶，二是從指定的網(wǎng)絡(luò)空間中下載木馬服務(wù)端文件并執(zhí)行。這里大家可以根據(jù)自己的實際情況進行修改，從而方便后面的木馬上傳操作。比如將misswe和123456換成自己的FTP用戶名和密碼，misswe.3322.org換成自己網(wǎng)絡(luò)空間的FTP地址，muma.exe替換成自己的木馬服務(wù)端文件名等。

溢出傳馬

當(dāng)漏洞端口掃描完成以后，點擊《諾頓自動溢出機》中的“整理IP”按鈕，在彈出的文本記錄窗口中可以看到多個開放2967端口的IP地址(2967端口就是諾頓用于數(shù)據(jù)通信的端口)。這里我們將IP地址以外的信息，包括端口信息、介紹信息等全部刪除，并點擊“批量溢出”按鈕，設(shè)置自己的公網(wǎng)IP地址(局域網(wǎng)用戶必須使用端口映射，否則溢出數(shù)據(jù)無法連接到本機)。當(dāng)《諾頓自動溢出機》開始批量溢出時，會彈出多個命令提示符窗口，溢出成功后就可以通過FTP命令上傳木馬服務(wù)端文件了。如果你覺得手工上傳太麻煩，可以點擊其窗口中的“全自動溢出抓雞”按鈕，這樣它就能自動完成木馬的上傳操作了。當(dāng)對方的電腦中了木馬之后，自然就成了你任意控制的“肉雞”。

防范方法

如果你也是諾頓的用戶，并且不想自己的電腦成為黑客手中的“肉雞”的話，那么有兩個防范方法可以考慮：一是卸載諾頓，使用其他的殺毒軟件；二是安裝一個好用的網(wǎng)絡(luò)防火墻，來屏蔽諾頓使用的2967端口(由于無法掃描到這個端口，黑客也就無法進行溢出控制操作了)。