文件窃取软件/木马
应某个客户的要求,需要定制一款木马软件,木马需要伪装成一般的正常软件,所以需要具备一些正常软件的功能。
正常的功能可以是任意功能,只要能让被窃取目标电脑运行软件即可。
木马的大致功能是:遍历被窃取目标电脑的硬盘,将所有.txt .xls .xlsx .doc .docx等文件路径保存为一个txt文档,然后将此txt文档(文件列表)上传到服务器(PHP空间);然后木马每60秒向服务器(PHP网站)请求一次命令,如果有命令,则将目标文件打包上传到服务器。

遍历磁盘:遍历所有分区,C盘比较特殊,只遍历桌面、文档目录,其它分区遍历所有。将所有符合要求格式的文件保存为txt文档,然后文档压缩为zip包,发送到服务器,然后删除刚创建的文件列表文件。
下载文件列表:当目标电脑上的文件列表被上传到服务器上后,用户立刻从服务器下载文件列表,根据路径和文件名分析目标电脑上是否有可用(想窃取的)的文件,如果有可用的,则将需要窃取的文件列表写入网络命令。
网络命令:网络命令用PHP网页实现,可根据不同的目标电脑设置不同的网络命令,命令主要内容为需要窃取的文件路径列表。
木马接收命令:木马接收到命令后,将需要窃取的文件打包为zip文件,上传到服务器,然后删除该zip文件。
后续工作:当木马上传需要窃取的文件后,木马会重新循环向服务器请求命令,如果有新命令,会再打包上传。
用户需要做的事:1.想办法让目标电脑运行木马软件; 2.关注是否有新文件列表被上传;3.这里需要窃取的文件列表,及时下载并编写网络命令。

杀毒软件:在编写此木马的过程中,我发现会被360识别为病毒软件,经过反复测试,最终发现360是对我木马的某个函数报毒,当我修改此函数的位置后,居然就不报毒了,估计是此函数与360特征库里的某个病毒相同。由此可判断,360的杀毒原理为特征码杀毒,而非行为杀毒。哎,中国最流行的所谓的杀毒软件居然就这水平,国人的悲哀啊。用户更悲剧,以为安装个360就万事大吉,关键是还免费,以为捡便宜了,殊不知360在很多新木马面前形同虚设。360=250

总结:一旦目标电脑运行此木马软件,目标电脑里的所有文件都能轻松搞到手。目标电脑用户虽然关闭了木马软件的窗口,但木马依然会在后台运行,绝大多数用户不会察觉。