木马的常见欺骗方式
木馬的常見欺騙方式
木馬是一個軟件,由使用者傳播或種植,常見的木馬欺騙方式如下。
(1)捆綁欺騙
把木馬服務(wù)端和某個游戲,或者Flash文件捆綁成一個文件通過QQ或郵件發(fā)給目標(biāo)機。
當(dāng)目標(biāo)機用戶對其感興趣下載開打力方會信瘺,而且即使受害者重裝系統(tǒng),如果保存了捆 悄悄運行。這種方式可以起到很好的迷惑作用,而且即使受害者重裝系統(tǒng),如果保存了捆綁文件,還是有可能再次中毒。
(2)郵件冒名欺騙
黑客用匿名郵件工具冒充用戶的好友、大型網(wǎng)站或政府機構(gòu)向目標(biāo)用戶發(fā)送郵件,并將木馬程序作為附件。
(3)壓縮包偽裝
這種方式將一個木馬和一個損壞的ziphrar文件包(可自制)捆綁在一起,然后指定捆綁后的文件為zip/rar文件圖標(biāo)。
(4) 網(wǎng)頁欺騙
入侵者發(fā)給聊天用戶一些陌生的網(wǎng)址,并且說明網(wǎng)站上有一些比較吸引人的熱門話題。單擊這個鏈接,在網(wǎng)頁彈出的同時用戶的計算機也可能已經(jīng)被種下了木馬。
(5)利用net send命令欺騙
黑客利用net send命令將自己偽裝成為系統(tǒng)用戶或網(wǎng)絡(luò)上的著名公司來發(fā)送欺騙性的消息,在目標(biāo)機中種植木馬。
例如,黑客會先做好一個類似Windows的補丁下載網(wǎng)站。將木馬偽裝成Windows Update程序,然后向目標(biāo)機發(fā)送如圖所示的消息。
接下來,用戶的桌面將彈出一個包含圖中消息的對話框。如果用戶下載黑客偽裝的“Windows更新程序”并打開“升級”,則其計算機將成為黑客的操縱目標(biāo)。
木馬的隱藏及其啟動方式
1.隱藏方式
(1)隱藏在任務(wù)欄中
在任務(wù)欄中隱藏文件圖標(biāo)是木馬隱藏自身的基本方式,在編程時很容易實現(xiàn)。以 VB為例,只要把form(窗體)的Visible屬性設(shè)置為 False并ShowInTaskBar設(shè)置為False,程序就不會出現(xiàn)在任務(wù)欄中,如圖所示。
(2)隱藏在任務(wù)管理器中
如把木馬設(shè)置為“系統(tǒng)服務(wù)”騙過任務(wù)管理器。
(3)隱藏通信端口
通常一臺計算機有65 536個端口,如果木馬占用1024以下的端口,很可能造成端口沖突,從而暴露。目前有很多木馬提供了端口修改功能,可以隨時修改端口號,以避免被發(fā)現(xiàn)。
(4)隱藏加載方式
木馬加載的目的就是讓目標(biāo)主機運行它。如果木馬不做任何偽裝,用戶不會去運行它,所以如何讓用戶運行服務(wù)端是基于木馬入侵的一個難題。而隨著網(wǎng)站互動化的不斷進步,越來越多的新技術(shù)可以成為木馬的傳播媒介,如 Java Script、VBScript 及 ActiveX等。
(5)最新隱身技術(shù)
木馬設(shè)計者們發(fā)現(xiàn) Windows下的中文漢化軟件采用的陷阱技術(shù)非常適合木馬使用,這是一種更新且更隱蔽的方法。通過修改虛擬設(shè)備驅(qū)動程序(VXD) 或動態(tài)鏈接庫(DLL)來加載木馬,基本擺脫了原有的監(jiān)聽端口模式,木馬會將修改后的 DLL 替換系統(tǒng)已知的DLL 并過濾所有的函數(shù)調(diào)用。被替換的DLL文件監(jiān)聽網(wǎng)絡(luò),一旦發(fā)現(xiàn)控制端的請求就激活自身并綁在一個進程上執(zhí)行相關(guān)的木馬操作。這樣做的好處是沒有增加新的文件,不需要打開新的端口,也沒有新的進程,使用常規(guī)的方法監(jiān)測不到。并且經(jīng)過測試,木馬沒有出現(xiàn)任何癱瘓現(xiàn)象,木馬的控制端向被控制端發(fā)出特定的信息后隱藏的程序?qū)⒘⒓撮_始運行。
2.啟動方式
木馬的啟動功能是必不可少的,自啟動可以保證其不會因為用戶的一次關(guān)機操作而徹底失去作用。一個典型的例子就是把木馬加入到用戶經(jīng)常執(zhí)行的程序(例如explorer.exe)中,當(dāng)用戶執(zhí)行該程序時木馬就自動執(zhí)行并運行。當(dāng)然更普遍的方法是通過修改 Windows系統(tǒng)文件和注冊表達到目的,現(xiàn)在經(jīng)常使用的方法主要有以下幾種。
(1)在 Win.ini中啟動
在 Win.ini 的[windows]字段中有啟動命令load=和run=,=后默認為空,可以把開機加載程序的路徑寫在其中:
run=c:\windowsysample.exeload=c:windows\sample.exe
(2)在System.ini中啟動
System.ini位于 Windows的安裝目錄下,其中[boot]字段的shell=Explorer.exe是木馬通常用來隱藏加載之處。通常的做法是將該項變?yōu)閟hell=Explorer.exe sample.exe,這里的sample.exe即木馬服務(wù)端程序。
System.ini 中的[386Enh]字段中的"driver=路徑\程序名"也可以用來實現(xiàn)自啟動,此外System.ini中的[mic]、[drivers]和[drivers32]也是黑客經(jīng)常用來加載程序之處。
(3)通過啟動組實現(xiàn)自啟動
如圖3-10所示的啟動組用來實現(xiàn)應(yīng)用程序自啟動,文件夾的位置為“C:NDocuments andSettings\AdministratorlStart MenulProgramslStartup”,其中 Administrator為主機的用戶名。如將QQ作為系統(tǒng)啟動組中的一項,每次系統(tǒng)啟動后都會自動運行它。
也可以從注冊表中的啟動組添加木馬程序啟動項,例如:
“HKEY_CURRENT_USER\Software\MICROSOFT\Windows\CurrentVersion\Explorer\ShelIFolders",
在右面的屬性欄中可以找到Startup屬性,黑客可以通過該屬性更改啟動組路徑,
(4)*.INI
后綴為ini的文件是系統(tǒng)中應(yīng)用程序的啟動配置文件,木馬程序利用這些文件能夠自啟動應(yīng)用程序的特點將制作的帶有木馬服務(wù)端程序自啟動命令的文件上傳到目標(biāo)主機中,這樣可以達到啟動木馬的目的。
(5)修改文件關(guān)聯(lián)
修改文件關(guān)聯(lián)是木馬常用手段,例如在正常情況下使用 Notepad.exe文件打開txt文件。但一旦被文件關(guān)聯(lián)木馬感染,則txt文件就會被修改為用木馬程序打開,如著名的國產(chǎn)木馬冰河就是這樣。
冰河木馬將“HKEY_CLASSES_ROOTtxtfilelshellNopenkcommand”下的鍵值“%SystemRoot%lsystem32NOTEPAD.exe%1”修改為“C:lWINDOwS\SYSTEMVirus.exe%1”,如圖3-12所示。
只要用戶雙擊一個txt文件,則由C:lWINDOwsiSYSTEM32目錄下的Virus.exe這個木馬程序打開。不僅僅是txt文件,htm、exe及 zip等也都是黑客的日標(biāo)
(6)捆綁文件
如著名的 Deception Binder 捆綁文件后會將捆綁文件放到網(wǎng)站、FTP及BT等資源下載場所,用戶下載并執(zhí)行捆綁文件的同時就啟動了木馬的服務(wù)端程序。
總結(jié)
- 上一篇: BADI 第三代增强 BADI 和 NE
- 下一篇: EJB的理解