TCP [04/08/04 19:14:10] 61.187.***.160->202.102.***.114 Port: 1140->25 (前面的IP是发信人的IP地址,后面的IP是接收方的IP地址,PORT是指端口) USER: ZXhlY3V0YW50[admin] (USER是信箱用户名,前面的ZXhlY3V0YW50为加密的数据,后面[]内的为用户ID) TCP [04/08/04 19:14:10] 61.187.***.160->202.102.***.114 Port: 1140->25 PASS: YWRtaW5zdXA=[adminsup] (PASS是邮箱的密码,YWRtaW5zdXA=为加密数据,后面[]内的为密码) TCP [04/08/04 19:14:10] 61.187.***.160->202.102.***.114 Port: 1140->25 MAIL FROM: (类似于发邮件时的信息,指信息发送的目的邮箱) TCP [04/08/04 19:14:10] 61.187.***.160->202.102.***.114 Port: 1140->25 RCPT T <1@1.***> (测试信箱的地址) …… 第四步:现在我们已经知道了这个木马是使用admin@1234.***邮箱来发信的,用户名是admin,密码是adminsup。于是,进入这个邮箱,删掉那些信吧。 第五步:不要以为这就结束了,木马是狡猾的,很多木马还包含一个隐藏后门。执行刚刚生成的木马服务器端(没有手动清理病毒能力的读者请勿轻易尝试,并对系统进行备份,以便还原)。 第六步:使用前面的命令,让xsniff开始嗅探,进入该游戏,随便申请一个ID,接着退出,再去看看pass.log文件。 …… TCP [04/08/04 19:20:39] 61.187.***.160->61.135.***.125 Port: 1157->25 PASS: YWRtaW5zdXA=[admin] TCP [04/08/04 19:20:40] 61.187.***.160->61.135.***.125 Port: 1157->25 MAIL FROM: …… 看到了吗?木马终于漏出了狐狸尾巴,用户名为admin,密码为admin,邮箱是为admin@12345.***,这个邮箱才是作者的后门程序,木马真正的后门。 第七步:最后,将该邮箱里的盗号邮件清除,然后恢复系统。 最后:笔者想告诫各位想用木马来盗别人的账号的朋友:害人之心不可有!因为,在加害别人的同时,你自己也正在被伤害……
(出处:http://www.sheup.com)