三、放线钓鱼

　　有了上面细致的准备，现在就着手放线钓鱼了。

　　首先，安装好花生壳客户端，注册并申请一个域名，比如笔者申请的是zhntou.vicp.net，用域名来访问FTP服务器，不但方便，而且也不会暴露自己的IP地址，毕竟暴露IP地址实在太危险了，而且信任程度也不高。

　　其次是安装Serv-U，并设置其可以让匿名（anonymous）用户访问的FTP资源目录，当然，这个目录中要先保存好RUNDLL木马。然后设置Serv-U中针对该用户的“记录”事件（如图1）。比如将该用户的相应记录保存到“G:Program FilesServ-Ulog.log”文件中，这样包括使用者的IP，其下载了哪些文件，进行了哪些操作，就全部记录到log.log文件中了。

　　接下来将建立好的FTP服务器发布到一些大的论坛上，就可以静待鱼儿上钩了。要有点耐心，毕竟“垂钓”没有耐心是钓不到大鱼的。一会儿，我们就可以从Serv-U的“活动”记录上看到大量的连接数据了（如图2）。先不急，等上个把钟头，就是该收网的时候了。

　　[5] Thu 03Jun04 11:08:59 - (000018) Connected to 219.242.106.92 (Local address 221.192.18.254)
　　[5] Thu 03Jun04 11:08:59 - (000018) User ADMIN logged in
　　[3] Thu 03Jun04 11:09:36 - (000018) Sending file i:hackerkillgirl.exe
　　[3] Thu 03Jun04 11:09:36 - (000018) Sent file i:hackernethackeriinethackeriichinese.txt successfully (312 kB/sec - 2553 Bytes)
　　[5] Thu 03Jun04 11:09:47 - (000018) Closing connection for user ADMIN (00:00:48 connected)

　　上面是笔者截取的log.log文件中的一小段，可以看到，第一行的“219.242.106.92”就是对方的IP地址，而“221.192.18.254”则是自己的IP地址，括号里的“000018”是Serv-U为该用户分配的一个ID标志，只要ID标志相同的，就是同一用户的操作了。从上面可以看到该用户下载了很有诱惑力的任我行木马“killgirl.exe”，并于11点09分47秒“Clossing”断开连接。

　　通过分析，我们知道终于有“傻瓜”开始咬钩了，也不急，再等等，收集多个下载了这个“killgirl.exe”木马的用户ＩＰ资料，等有１０多个了，然后打开远程控制任我行的控制端，开始收获大鱼了