黑手

    幕后黑手之 木马冰河

　　冰河是一款功能强大的国产远程控制软件，是基于TCP/IP协议和Windows操作系统的网络工具，冰河采用标准的C/S结构，包括客户端程序(G_Client.exe)和服务器端程序(G_Server.exe)。由于其简单易用的特点，加上强大的远程控制能力，所以是网友最常使用的一款远程控制软件。

　　解析木马冰河

　　冰河功能强大，不易被发觉，而且很难根除。在木马中，冰河可谓大名鼎鼎。下面我们就来看看冰河是如何进行远程控制的。

　　1.设置服务器端

　　首先运行客户端程序(G_Client.exe)，在出现的主界面上单击工具栏中的“配置本地服务器程序”(图2)，弹出“服务器端配置”窗口。窗口有基本配置、自我保护和邮件通知三个基本项。在基本配置选项中，可以对安装路径、监听端口等进行设置。自我保护选项是为了防止服务器端被删除后可以自动恢复而设置的。

图2

　　2.添加服务器端

　　单击工具栏上的“添加主机”按钮，在弹出的窗口中输入远程计算机的IP地址，并设置访问口令以及监听端口，单击“确定”后即可在客户端程序的“文件管理器”中添加一个新的服务器端。用户还可以通过单击工具栏上的“自动搜索”按钮，在弹出的窗口中设置起始域、起始地址、终止地址等，这样就可以在指定的IP地址段中搜索出已经打开了相应端口的远程计算机，搜索出的结果都会自动添加到客户端程序的用户列表中。

　　3.客户端操作

　　在客户端的“文件管理器”中的用户列表中选择要控制的计算机，登录成功后即可实现出远程计算机中的所有磁盘、文件，可以对文件进行复制、删除、打开、上传、下载等操作，感觉就像平时我们在使用资源管理器一样简单。

　　切换到“命令控制台”选项卡，在这里可以进行屏幕捕捉、修改远程注册表、截取密码、控制鼠标的操作。如果要查看服务器端的配置，就可以选择“设置类命令”列表中的“服务器端端配置”选项(图3)，然后在右边单击“读取服务器端配置”进行查看，还可以单击“修改服务器端配置”对远程服务器端进行修改。

　　防止冰河侵入

　　由于冰河已经是一个比较老的木马程序了，使用一般的安全软件都可以将它清除掉。

　　对个人用户来说只要定时升级自己的杀毒软件，不要轻易使用陌生人传来的可执行文件。定期检查自己的端口，如果发现自己所开端口中有高位端口如7849端口等，一定要引起重视。

　　对服务器来说，除了定时对系统进行升级补丁和安装企业级防火墙以外，可以采用冰河陷阱这款软件，它不但可以自动清除所有版本冰河的服务器端程序，还可以伪装成“冰河”服务器端对入侵者进行欺骗，并记录入侵者的所有操作功能。