木马的常见欺骗方式
木馬的常見欺騙方式
木馬是一個軟件,由使用者傳播或種植,常見的木馬欺騙方式如下。
(1)捆綁欺騙
把木馬服務端和某個游戲,或者Flash文件捆綁成一個文件通過QQ或郵件發給目標機。
當目標機用戶對其感興趣下載開打力方會信瘺,而且即使受害者重裝系統,如果保存了捆 悄悄運行。這種方式可以起到很好的迷惑作用,而且即使受害者重裝系統,如果保存了捆綁文件,還是有可能再次中毒。
(2)郵件冒名欺騙
黑客用匿名郵件工具冒充用戶的好友、大型網站或政府機構向目標用戶發送郵件,并將木馬程序作為附件。
(3)壓縮包偽裝
這種方式將一個木馬和一個損壞的ziphrar文件包(可自制)捆綁在一起,然后指定捆綁后的文件為zip/rar文件圖標。
(4) 網頁欺騙
入侵者發給聊天用戶一些陌生的網址,并且說明網站上有一些比較吸引人的熱門話題。單擊這個鏈接,在網頁彈出的同時用戶的計算機也可能已經被種下了木馬。
(5)利用net send命令欺騙
黑客利用net send命令將自己偽裝成為系統用戶或網絡上的著名公司來發送欺騙性的消息,在目標機中種植木馬。
例如,黑客會先做好一個類似Windows的補丁下載網站。將木馬偽裝成Windows Update程序,然后向目標機發送如圖所示的消息。
接下來,用戶的桌面將彈出一個包含圖中消息的對話框。如果用戶下載黑客偽裝的“Windows更新程序”并打開“升級”,則其計算機將成為黑客的操縱目標。
木馬的隱藏及其啟動方式
1.隱藏方式
(1)隱藏在任務欄中
在任務欄中隱藏文件圖標是木馬隱藏自身的基本方式,在編程時很容易實現。以 VB為例,只要把form(窗體)的Visible屬性設置為 False并ShowInTaskBar設置為False,程序就不會出現在任務欄中,如圖所示。
(2)隱藏在任務管理器中
如把木馬設置為“系統服務”騙過任務管理器。
(3)隱藏通信端口
通常一臺計算機有65 536個端口,如果木馬占用1024以下的端口,很可能造成端口沖突,從而暴露。目前有很多木馬提供了端口修改功能,可以隨時修改端口號,以避免被發現。
(4)隱藏加載方式
木馬加載的目的就是讓目標主機運行它。如果木馬不做任何偽裝,用戶不會去運行它,所以如何讓用戶運行服務端是基于木馬入侵的一個難題。而隨著網站互動化的不斷進步,越來越多的新技術可以成為木馬的傳播媒介,如 Java Script、VBScript 及 ActiveX等。
(5)最新隱身技術
木馬設計者們發現 Windows下的中文漢化軟件采用的陷阱技術非常適合木馬使用,這是一種更新且更隱蔽的方法。通過修改虛擬設備驅動程序(VXD) 或動態鏈接庫(DLL)來加載木馬,基本擺脫了原有的監聽端口模式,木馬會將修改后的 DLL 替換系統已知的DLL 并過濾所有的函數調用。被替換的DLL文件監聽網絡,一旦發現控制端的請求就激活自身并綁在一個進程上執行相關的木馬操作。這樣做的好處是沒有增加新的文件,不需要打開新的端口,也沒有新的進程,使用常規的方法監測不到。并且經過測試,木馬沒有出現任何癱瘓現象,木馬的控制端向被控制端發出特定的信息后隱藏的程序將立即開始運行。
2.啟動方式
木馬的啟動功能是必不可少的,自啟動可以保證其不會因為用戶的一次關機操作而徹底失去作用。一個典型的例子就是把木馬加入到用戶經常執行的程序(例如explorer.exe)中,當用戶執行該程序時木馬就自動執行并運行。當然更普遍的方法是通過修改 Windows系統文件和注冊表達到目的,現在經常使用的方法主要有以下幾種。
(1)在 Win.ini中啟動
在 Win.ini 的[windows]字段中有啟動命令load=和run=,=后默認為空,可以把開機加載程序的路徑寫在其中:
run=c:\windowsysample.exeload=c:windows\sample.exe
(2)在System.ini中啟動
System.ini位于 Windows的安裝目錄下,其中[boot]字段的shell=Explorer.exe是木馬通常用來隱藏加載之處。通常的做法是將該項變為shell=Explorer.exe sample.exe,這里的sample.exe即木馬服務端程序。
System.ini 中的[386Enh]字段中的"driver=路徑\程序名"也可以用來實現自啟動,此外System.ini中的[mic]、[drivers]和[drivers32]也是黑客經常用來加載程序之處。
(3)通過啟動組實現自啟動
如圖3-10所示的啟動組用來實現應用程序自啟動,文件夾的位置為“C:NDocuments andSettings\AdministratorlStart MenulProgramslStartup”,其中 Administrator為主機的用戶名。如將QQ作為系統啟動組中的一項,每次系統啟動后都會自動運行它。
也可以從注冊表中的啟動組添加木馬程序啟動項,例如:
“HKEY_CURRENT_USER\Software\MICROSOFT\Windows\CurrentVersion\Explorer\ShelIFolders",
在右面的屬性欄中可以找到Startup屬性,黑客可以通過該屬性更改啟動組路徑,
(4)*.INI
后綴為ini的文件是系統中應用程序的啟動配置文件,木馬程序利用這些文件能夠自啟動應用程序的特點將制作的帶有木馬服務端程序自啟動命令的文件上傳到目標主機中,這樣可以達到啟動木馬的目的。
(5)修改文件關聯
修改文件關聯是木馬常用手段,例如在正常情況下使用 Notepad.exe文件打開txt文件。但一旦被文件關聯木馬感染,則txt文件就會被修改為用木馬程序打開,如著名的國產木馬冰河就是這樣。
冰河木馬將“HKEY_CLASSES_ROOTtxtfilelshellNopenkcommand”下的鍵值“%SystemRoot%lsystem32NOTEPAD.exe%1”修改為“C:lWINDOwS\SYSTEMVirus.exe%1”,如圖3-12所示。
只要用戶雙擊一個txt文件,則由C:lWINDOwsiSYSTEM32目錄下的Virus.exe這個木馬程序打開。不僅僅是txt文件,htm、exe及 zip等也都是黑客的日標
(6)捆綁文件
如著名的 Deception Binder 捆綁文件后會將捆綁文件放到網站、FTP及BT等資源下載場所,用戶下載并執行捆綁文件的同時就啟動了木馬的服務端程序。
總結
- 上一篇: BADI 第三代增强 BADI 和 NE
- 下一篇: EJB的理解