木馬病毒(trojan)

木馬病毒

trojan一般指本詞條

木馬(Trojan),也稱木馬病毒,是指通過特定的程式(木馬程式)來控制另一台計算機。木馬通常有兩個可執行程式:一個是控制端,另一個是被控制端。木馬這個名字來源於古希臘傳說(荷馬史詩中木馬計的故事,Trojan一詞的特洛伊木馬本意是特洛伊的,即代指特洛伊木馬,也就是木馬計的故事)。“木馬”程式是目前比較流行的病毒檔案,與一般的病毒不同,它不會自我繁殖,也並不“刻意”地去感染其他檔案,它通過將自身偽裝吸引用戶下載執行,向施種木馬者提供打開被種主機的門戶,使施種者可以任意毀壞、竊取被種者的檔案,甚至遠程操控被種主機。木馬病毒的產生嚴重危害著現代網路的安全運行。

基本介紹

  • 中文名:木馬病毒
  • 外文名:Trojan
  • 類型:計算機惡意代碼
  • 目的:毀壞、竊取被種者的檔案
詳細含義,原理,特徵,發展,種類,網遊木馬,網銀木馬,下載類,代理類,FTP木馬,通訊軟體類,網頁點擊類,Android木馬,預防,危害,防禦,刪除,藏身之地,危害網站,偽裝方式,修改圖示,捆綁檔案,出錯顯示,定製連線埠,自我銷毀,木馬更名,相關案例,支付大盜,新鬼影,圖片大盜,浮雲,黏蟲,怪魚,印表機木馬,網銀刺客,遙控彈窗機,Q幣木馬,修改中獎號碼,藍色火焰木馬,攻擊木馬,

詳細含義

木馬”與計算機網路中常常要用到的遠程控制軟體有些相似,但由於遠程控制軟體是“善意”的控制,因此通常不具有隱蔽性;“木馬”則完全相反,木馬要達到的是“偷竊”性的遠程控制,如果沒有很強的隱蔽性的話,那就是“毫無價值”的。
它是指通過一段特定的程式(木馬程式)來控制另一台計算機木馬通常有兩個可執行程式:一個是客戶端,即控制端;另一個是服務端,即被控制端。植入被種者電腦的是“伺服器”部分,而所謂的“黑客”正是利用“控制器”進入運行了“伺服器”的電腦。運行了木馬程式的“伺服器”以後,被種者的電腦就會有一個或幾個連線埠被打開,使黑客可以利用這些打開的連線埠進入電腦系統,安全和個人隱私也就全無保障了! 木馬的設計者為了防止木馬被發現,而採用多種手段隱藏木馬。木馬的服務一旦運行並被控制端連線,其控制端將享有服務端的大部分操作許可權,例如給計算機增加口令,瀏覽、移動、複製、刪除檔案,修改註冊表,更改計算機配置等。
木馬病毒
隨著病毒編寫技術的發展木馬程式對用戶的威脅越來越大,尤其是一些木馬程式採用了極其狡猾的手段來隱蔽自己,使普通用戶很難在中毒後發覺。

原理

一個完整特洛伊木馬套裝程式含了兩部分:服務端伺服器部分)和客戶端控制器部分)。植入對方電腦的是服務端,而黑客正是利用客戶端進入運行了服務端的電腦。運行了木馬程式服務端以後,會產生一個有著容易迷惑用戶的名稱的進程,暗中打開連線埠,向指定地點傳送數據(如網路遊戲的密碼,即時通信軟體密碼和用戶上網密碼等),黑客甚至可以利用這些打開的連線埠進入電腦系統
特洛伊木馬程式不能自動操作, 一個特洛伊木馬程式是包含或者安裝一個存心不良的程式的, 它可能看起來是有用或者有趣的計畫(或者至少無害)對一不懷疑的用戶來說,但是實際上有害當它被運行。特洛伊木馬不會自動運行,它是暗含在某些用戶感興趣的文檔中,用戶下載時附帶的。當用戶運行文檔程式時,特洛伊木馬才會運行,信息或文檔才會被破壞和遺失。特洛伊木馬和後門不一樣,後門指隱藏在程式中的秘密功能,通常是程式設計者為了能在日後隨意進入系統而設定的。
特洛伊木馬有兩種,universal的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作

特徵

特洛伊木馬不經電腦用戶準許就可獲得電腦的使用權。程式容量十分輕小,運行時不會浪費太多資源,因此沒有使用防毒軟體是難以發覺的,運行時很難阻止它的行動,運行後,立刻自動登錄在系統引導區,之後每次在Windows載入時自動運行,或立刻自動變更檔案名稱,甚至隱形,或馬上自動複製到其他資料夾中,運行連用戶本身都無法運行的動作。

發展

木馬程式技術發展可以說非常迅速。主要是有些年輕人出於好奇,或是急於顯示自己實力,不斷改進木馬程式的編寫。至今木馬程式已經經歷了六代的改進:
第一代,是最原始的木馬程式。主要是簡單的密碼竊取,通過電子郵件傳送信息等,具備了木馬最基本的功能。
第二代,在技術上有了很大的進步,冰河是中國木馬的典型代表之一。
第三代,主要改進在數據傳遞技術方面,出現了ICMP等類型的木馬,利用畸形報文傳遞數據,增加了防毒軟體查殺識別的難度。
第四代, 在進程隱藏方面有了很大改動,採用了核心插入式的嵌入方式,利用遠程插入執行緒技術,嵌入DLL執行緒。或者掛接PSAPI,實現木馬程式的隱藏,甚至在Windows NT/2000下,都達到了良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬
第五代,驅動級木馬驅動級木馬多數都使用了大量的Rootkit技術來達到在深度隱藏的效果,並深入到核心空間的,感染後針對防毒軟體網路防火牆進行攻擊,可將系統SSDT初始化,導致防毒防火牆失去效應。有的驅動級木馬可駐留BIOS,並且很難查殺。
第六代,隨著身份認證UsbKey和防毒軟體主動防禦的興起,黏蟲技術類型和特殊反顯技術類型木馬逐漸開始系統化。前者主要以盜取和篡改用戶敏感信息為主,後者以動態口令和硬證書攻擊為主。PassCopy和暗黑蜘蛛俠是這類木馬的代表。

種類

網遊木馬

隨著網路線上遊戲的普及和升溫,中國擁有規模龐大的網遊玩家。網路遊戲中的金錢、裝備等虛擬財富與現實財富之間的界限越來越模糊。與此同時,以盜取網遊帳號密碼為目的的木馬病毒也隨之發展泛濫起來。
網路遊戲木馬通常採用記錄用戶鍵盤輸入、Hook遊戲進程API函式等方法獲取
木馬病毒(trojan)
用戶的密碼和帳號。竊取到的信息一般通過傳送電子郵件或向遠程腳本程式提交的方式傳送給木馬作者。
網路遊戲木馬的種類和數量,在國產木馬病毒中都首屈一指。流行的網路遊戲無一不受網遊木馬的威脅。一款新遊戲正式發布後,往往在一到兩個星期內,就會有相應的木馬程式被製作出來。大量的木馬生成器黑客網站的公開銷售也是網遊木馬泛濫的原因之一。

網銀木馬

網銀木馬是針對網上交易系統編寫的木馬病毒,其目的是盜取用戶的卡號、密碼,甚至安全證書。此類木馬種類數量雖然比不上網遊木馬,但它的危害更加直接,受害用戶的損失更加慘重。
木馬病毒木馬病毒
網銀木馬通常針對性較強,木馬作者可能首先對某銀行的網上交易系統進行仔細分析,然後針對安全薄弱環節編寫病毒程式。2013年,安全軟體電腦管家截獲網銀木馬最新變種“弼馬溫”,弼馬溫病毒能夠毫無痕跡的修改支付界面,使用戶根本無法察覺。通過不良網站提供假QVOD下載地址進行廣泛傳播,當用戶下載這一掛馬播放器檔案安裝後就會中木馬,該病毒運行後即開始監視用戶網路交易,禁止餘額支付和快捷支付,強制用戶使用網銀,並藉機篡改訂單,盜取財產。
隨著中國網上交易的普及,受到外來網銀木馬威脅的用戶也在不斷增加。

下載類

這種木馬程式的體積一般很小,其功能是從網路上下載其他病毒程式或安裝廣告軟體。由於體積很小,下載類木馬更容易傳播,傳播速度也更快。通常功能強大、體積也很大的後門類病毒,如“灰鴿子”、“黑洞”等,傳播時都單獨編寫一個小巧的下載型木馬,用戶中毒後會把後門主程式下載到本機運行。

代理類

用戶感染代理類木馬後,會在本機開啟HTTPSOCKS等代理服務功能。黑客把受感染計算機作為跳板,以被感染用戶的身份進行黑客活動,達到隱藏自己的目的。

FTP木馬

FTP型木馬打開被控制計算機的21號連線埠(FTP所使用的默認連線埠),使每一個人都可以用一個FTP客戶端程式來不用密碼連線到受控制端計算機,並且可以進行最高許可權的上傳和下載,竊取受害者的機密檔案。新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進入對方計算機。

通訊軟體類

國內即時通訊軟體百花齊放。QQ、新浪UC、網易泡泡、盛大圈圈……網上聊天的用戶群十分龐大。常見的即時通訊類木馬一般有3種:
a、傳送訊息型
通過即時通訊軟體自動傳送含有惡意網址的訊息,目的在於讓收到訊息的用戶點擊網址中毒,用戶中毒後又會向更多好友傳送病毒訊息。此類病毒常用技術是搜尋聊天視窗,進而控制該視窗自動傳送文本內容。傳送訊息型木馬常常充當網遊木馬的廣告,如“武漢男生2005”木馬,可以通過MSN、QQ、UC等多種聊天軟體傳送帶毒網址,其主要功能是盜取傳奇遊戲的帳號和密碼。
b、盜號型
主要目標在於即時通訊軟體的登錄帳號和密碼。工作原理和網遊木馬類似。病毒作者盜得他人帳號後,可能偷窺聊天記錄等隱私內容,在各種通訊軟體內向好友傳送不良信息、廣告推銷等語句,或將帳號賣掉賺取利潤。
c、傳播自身型
2005年初,“MSN性感雞”等通過MSN傳播的蠕蟲泛濫了一陣之後,MSN推出新版本,禁止用戶傳送執行檔。2005年上半年,“QQ龜”和“QQ愛蟲”這兩個國產病毒通過QQ聊天軟體傳送自身進行傳播,感染用戶數量極大,在江民公司統計的2005年上半年十大病毒排行榜上分列第一和第四名。從技術角度分析,傳送檔案類的QQ蠕蟲是以前傳送訊息類QQ木馬的進化,採用的基本技術都是搜尋到聊天視窗後,對聊天視窗進行控制,來達到傳送檔案或訊息的目的。只不過傳送檔案的操作比傳送訊息複雜很多。

網頁點擊類

網頁點擊類木馬會惡意模擬用戶點擊廣告等動作,在短時間內可以產生數以萬計的點擊量。病毒作者的編寫目的一般是為了賺取高額的廣告推廣費用。此類病毒的技術簡單,一般只是向伺服器傳送HTTP GET請求。

Android木馬

2018年1月,卡巴斯基實驗室宣布,發現了Skygofree這款間諜軟體工具;其中Android間諜軟體Skygofree是專為有針對性的監控而設計的,被用來作為網路武器。

預防

首先找到感染檔案,其手動方法是結束相關進程然後刪除檔案。但是目前網際網路上出現了各種防毒軟體及專殺,我們可以藉助這些安全工具進行查殺。
木馬病毒都是一種人為的程式,都屬於電腦病毒,為什麼木馬要單獨提出來說呢?大家都知道以前的電腦病毒的作用,其實完全就是為了搞破壞,破壞電腦里的資料數據,除了破壞之外其它無非就是有些病毒製造者為了達到某些目的而進行的威懾和敲詐勒索的作用,或為了炫耀自己的技術. "木馬"不一樣,木馬的作用是赤裸裸的偷監視別人和盜竊別人密碼,數據等,如盜竊管理員密碼-子網密碼搞破壞,或者好玩,偷竊上網密碼用於別處,遊戲帳號,股票帳號,甚至網上銀行帳戶等等.達到偷窺別人隱私和得到經濟利益為目的.所以木馬的作用比早期的電腦病毒更加有用.更能夠直接達到使用者的目的!導致許多別有用心的程式開發者大量的編寫這類帶有偷竊和監視別人電腦的侵入性程式,這就是網上大量木馬泛濫成災的原因.鑒於木馬的這些巨大危害性和它與早期病毒的作用性質不一樣,所以木馬雖然屬於病毒中的一類,但是要單獨的從病毒類型中間剝離出來.獨立的稱之為"木馬"程式。
一般來說一種防毒軟體程式,它的木馬專殺程式能夠查殺某某木馬的話,那么它自己的普通防毒程式也當然能夠殺掉這種木馬,因為在木馬泛濫的今天,為木馬單獨設計一個專門的木馬查殺工具,那是能提高該防毒軟體的產品檔次的,對其聲譽也大大的有益,實際上一般的普通防毒軟體里都包含了對木馬的查殺功能.如果大家說某某防毒軟體沒有木馬專殺的程式,那這家防毒軟體廠商自己也好像有點過意不去,即使它的普通防毒軟體里當然的有殺除木馬的功能。並且,在網際網路上公開的病毒,一般防毒廠商都會更新病毒庫,便以查殺。
還有一點就是,把查殺木馬程式單獨剝離出來,可以提高查殺效率,很多防毒軟體里的木馬專殺程式只對木馬進行查殺,不去檢查普通病毒庫里的病毒代碼,也就是說當用戶運行木馬專殺程式的時候,程式只調用木馬代碼庫里的數據,而不調用病毒代碼庫里的數據,大大提高木馬查殺速度.我們知道查殺普通病毒的速度是比較慢的,因為有太多太多的病毒.每個檔案要經過幾萬條木馬代碼的檢驗,然後再加上已知的差不多有近10萬個病毒代碼的檢驗,那速度豈不是很慢了.省去普通病毒代碼檢驗,是不是就提高了效率,提高了速度呢? 也就是說好多防毒軟體自帶的木馬專殺程式只查殺木馬而一般不去查殺病毒,但是它自身的普通病毒查殺程式既查殺病毒又查殺木馬!
如何查出:
在使用常見的木馬查殺軟體及殺軟體的同時,系統自帶的一些基本命令也可以發現木馬病毒
一、檢測網路連線
如果你懷疑自己的計算機上被別人安裝了木馬,或者是中了病毒,但是手裡沒有完善的工具來檢測是不是真有這樣的事情發生,那可以使用Windows自帶的網路命令來看看誰在連線你的計算機。
具體的命令格式是:netstat -an這個命令能看到所有和本地計算機建立連線的IP,它包含四個部分——proto(連線方式)、local address(本地連線地址)、foreign address(和本地建立連線的地址)、state(當前連線埠狀態)。通過這個命令的詳細信息,我們就可以完全監控計算機上的連線,從而達到控制計算機的目的。
二、禁用不明服務
很多朋友在某天系統重新啟動後會發現計算機速度變慢了,不管怎么最佳化都慢,用防毒軟體也查不出問題,這個時候很可能是別人通過入侵你的計算機後給你開放了特別的某種服務,比如IIS信息服務等,這樣你的防毒軟體是查不出來的。但是別急,可以通過“net start”來查看系統中究竟有什麼服務在開啟,如果發現了不是自己開放的服務,我們就可以有針對性地禁用這個服務了。
方法就是直接輸入“net start”來查看服務,再用“net stop server”來禁止服務。
三、輕鬆檢查賬戶
很長一段時間,惡意的攻擊者非常喜歡使用克隆賬號的方法來控制你的計算機。他們採用的方法就是激活一個系統中的默認賬戶,但這個賬戶是不經常用的,然後使用工具把這個賬戶提升到管理員許可權,從表面上看來這個賬戶還是和原來一樣,但是這個克隆的賬戶卻是系統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。
為了避免這種情況,可以用很簡單的方法對賬戶進行檢測。
首先在命令行下輸入net user,查看計算機上有些什麼用戶,然後再使用“net user 用戶名”查看這個用戶是屬於什麼許可權的,一般除了Administrator是administrators組的,其他都不是!如果你發現一個系統內置的用戶是屬於administrators組的,那幾乎肯定你被入侵了,而且別人在你的計算機上克隆了賬戶。快使用“net user用戶名/del”來刪掉這個用戶吧!
聯網狀態下的客戶端。對於沒有聯網的客戶端,當其聯網之後也會在第一時間內收到更新信息將病毒特徵庫更新到最新版本。不僅省去了用戶去手動更新的煩瑣過程,也使用戶的計算機時刻處於最佳的保護環境之下。
四、對比系統服務項
1、點擊“開始,運行”輸入“msconfig.exe"回車,打開”系統配置實用程式,然後 在“服務”選項卡中勾選“隱藏所有Microsoft服務”,這時列表中顯示的服務項都是非系統程式。
2、再點擊“開始,運行”,輸入Services.msc"回車,打開“系統服務管理”,對比兩張表,在該“服務列表”中可以逐一找出剛才顯示的非系統服務項。
3、在“系統服務”管理界面中,找到那些服務後,雙擊打開,在“常規”選項卡中的執行檔路徑中可以看到服務的執行檔位置,一般正常安裝的程式,比如防毒,MSN,防火牆,等,都會建立自己的系統服務,不在系統目錄下,如果有第三方服務指向的路徑是在系統目錄下,那么他就是“木馬”。選中它,選擇表中的“禁止”,重新啟動計算機即可。
4、要點:有一個表的左側:有被選中的服務程式說明,如果沒用,它就是木馬

危害

1、盜取我們的網遊賬號,威脅我們的虛擬財產的安全
木馬病毒會盜取我們的網遊賬號,它會盜取我們帳號後,並立即將帳號中的遊戲裝備轉移,再由木馬病毒使用者出售這些盜取的遊戲裝備和遊戲幣而獲利。
2、盜取我們的網銀信息,威脅我們的真實財產的安全
木馬採用鍵盤記錄等方式盜取我們的網銀帳號和密碼,並傳送給黑客,直接導致我們的經濟損失。
3、利用即時通訊軟體盜取我們的身份,傳播木馬病毒等不良信息
中了此類木馬病毒後,可能導致我們的經濟損失。在中了木馬後電腦會下載病毒作者指定的程式任意程式,具有不確定的危害性。如惡作劇等。
4、給我們的電腦打開後門,使我們的電腦可能被黑客控制
灰鴿子木馬等。當我們中了此類木馬後,我們的電腦就可能淪為肉雞,成為黑客手中的工具。

防禦

木馬查殺(查殺軟體很多,有些病毒軟體都能殺木馬)
防火牆(分硬體軟體)家裡面的就用軟體好了,如果是公司或其他地方就硬體和軟體一起用。
基本能防禦大部分木馬,但是的軟體都不是萬能的,還要學點專業知識,有了這些,你的電腦就安全多了。高手也很多,只要你不隨便訪問來歷不明的網站,使用來歷不明的軟體(很多盜版或破解軟體都帶木馬,這個看你自己經驗去區分),還要及時更新系統漏洞,如果你都做到了,木馬,病毒。就不容易進入你的電腦了。

刪除

1、禁用系統還原
如果您運行的是 Windows Me 或 Windows XP,建議您暫時關閉“系統還原”。此功能默認情況下是啟用的,一旦計算機中的檔案被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此,防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其他位置的受感染檔案。
此外,病毒掃描可能還會檢測到 System Restore 資料夾中的威脅,即使您已將該威脅刪除。
注意:蠕蟲移除乾淨後,請按照上述文章所述恢復系統還原的設定。
2、安全模式或VGA 模式
關閉計算機,等待至少 30 秒鐘後重新啟動到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用戶:將計算機重啟到安全模式。所有 Windows 32-bit 作系統,除了Windows NT,可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機
Windows NT 4 用戶:將計算機重啟到 VGA 模式。
掃描和刪除受感染檔案啟動防病毒程式,並確保已將其配置為掃描所有檔案。運行完整的系統掃描。如果檢測到任何檔案被 Download.Trojan 感染,請單擊“刪除”。如有必要,清除 Internet Explorer 歷史和檔案。如果該程式是在 Temporary Internet Files 資料夾中的壓縮檔案內檢測到的,請執行以下步驟:
啟動 Internet Explorer。單擊“工具”>;“Internet 選項”。單擊“常規”選項卡“Internet臨時檔案”部分中,單擊“刪除檔案”,然後在出現提示後單擊“確定”。在“歷史”部分,單擊“清除歷史”,然後在出現提示後單擊“是”。

藏身之地

木馬是一種基於遠程控制病毒程式,該程式具有很強的隱蔽性和危害性,它可以在人不知鬼不覺的狀態下控制你或者監視你。下面就是木馬潛伏的詭招,看了以後不要忘記採取絕招來對付這些損招。
1、集成到程式中
其實木馬也是一個伺服器――客戶端程式,它為了不讓用戶能輕易地把它刪除,就常常集成到程式里,一旦用戶激活木馬程式,那么木馬檔案和某一應用程式捆綁在一起,然後上傳到服務端覆蓋原檔案,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程式,木馬又會被安裝上去了。綁定到某一應用程式中,如綁定到系統檔案,那么每一次Windows啟動均會啟動木馬
2、隱藏在配置檔案中
木馬實在是太狡猾,知道菜鳥們平時使用的是圖形化界面的作業系統,對於那些已經不太重要的配置檔案大多數是不聞不問了,這正好給木馬提供了一個藏身之處。而且利用配置檔案的特殊作用,木馬很容易就能在大家的計算機中運行、發作,從而偷窺或者監視大家。不過,這種方式不是很隱蔽,容易被發現,所以在Autoexec.bat和Config.sys中載入木馬程式的並不多見,但也不能因此而掉以輕心。
3、潛伏在Win.ini中
木馬要想達到控制或者監視計算機的目的,必須要運行,然而沒有人會傻到自己在自己的計算機中運行這個該死的木馬。當然,木馬也早有心理準備,知道人類是高智商的動物,不會幫助它工作的,因此它必須找一個既安全又能在系統啟動時自動運行的地方,於是潛伏在Win.ini中是木馬感覺比較愜意的地方。大家不妨打開Win.ini來看看,在它的[windows]欄位中有啟動命令“load=”和“run=”,在一般情況下“=”後面是空白的,如果有後跟程式,比方說是這個樣子:run=c:windowsfile. Exeload=c:windowsfile.exe。這時你就要小心了,這個file.exe很可能是木馬
4、偽裝在普通檔案中
這個方法出現的比較晚,不過很流行,對於不熟練的windows操作者,很容易上當。具體方法是把執行檔偽裝成圖片或文本——在程式中把圖示改成Windows的默認圖片圖示,再把檔案名稱改為*.jpg.exe,由於Win98默認設定是“不顯示已知的檔案後綴名”,檔案將會顯示為*.jpg,不注意的人一點這個圖示就中木馬了(如果你在程式中嵌一張圖片就更完美了)。
5、內置到註冊表中
上面的方法讓木馬著實舒服了一陣,既沒有人能找到它,又能自動運行,真是快哉!然而好景不長,人類很快就把它的馬腳了出來,並對它進行了嚴厲的懲罰!但是它還心有不甘,總結了失敗教訓後,認為上面的藏身之處很容易找,註冊表!的確註冊表由於比較複雜,木馬常常喜歡藏在這裡快活,趕快檢查一下,有什麼程式在其下,睜大眼睛仔細看了,別放過木馬:
HKEY_LOCAL_MACHINE\Software\Microsof\tWindows\CurrentVersion\ 下所有以“run”開頭的鍵值; HKEY_CURRENT_USER\Software\Microsof\tWindows\CurrentVersion\ 下所有以“run”開頭的鍵值; HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion\ 下所有以“run”開頭的鍵值。
6、在驅動程式中藏身
木馬真是無處不在呀!什麼地方有空子,它就往哪裡!這不,Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。還是小心點,打開這個檔案看看,它與正常檔案有什麼不同,在該檔案的[boot]欄位中,是不是有這樣的內容,那就是shell=Explorer.exe file.exe,如果確實有這樣的內容,那你就不幸了,因為這裡的file.exe就是木馬服務端程式!另外,在System.ini中的[386Enh]欄位,要注意檢查在此段內的“driver=路徑程式名”,這裡也有可能被木馬所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]這三個欄位,這些段也是起到載入驅動程式的作用,但也是增添木馬程式的好場所,你該知道也要注意這裡。
7、隱形於啟動組中
有時木馬並不在乎自己的行蹤,它更注意的是能否自動載入到系統中,因為一旦木馬載入到系統中,任你用什麼方法你都無法將它趕跑(哎,這木馬臉皮也真是太厚),因此按照這個邏輯,啟動組也是木馬可以藏身的好地方,因為這裡的確是自動載入運行的好場所。假設啟動組對應的資料夾為:
C:\windows\startmenu\programs\startup
註冊表中的位置:
HKEY_CURRENT_USER\Softwar\eMicrosoft\Windows\ CurrentVersio\nExplorer\ShellFolders\Startup= “C:windows\startmenu\programs\startup”
要注意經常檢查啟動組。
8、在Winstart.bat中
按照上面的邏輯理論,凡是利於木馬能自動載入的地方,木馬都喜歡待。這不,Winstart.bat也是一個能自動被Windows載入運行的檔案,它多數情況下為應用程式及Windows自動生成,在執行了Win. com並載入了多數驅動程式之後開始執行(這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由於Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被載入運行,危險由此而來。
9、捆綁在啟動檔案中
應用程式的啟動配置檔案,控制端利用這些檔案能啟動程式的特點,將製作好的帶有木馬啟動命令的同名檔案上傳到服務端覆蓋這同名檔案,這樣就可以達到啟動木馬的目的了。
10、設定在超級連線中
木馬的主人在網頁上放置惡意代碼,引誘用戶點擊,用戶點擊的結果不言而喻:開門揖盜!奉勸不要隨便點擊網頁上的連結,除非你了解它,信任它。

危害網站

惡意程式破壞網站
頁面中的木馬主要指的就是利用網站建設的安全漏洞來竊取網站機密的工具。其通過執行嵌入在網頁HTML超文本標記語言內的Java Applet小應用程式,JavaScript腳本語言程式,ActiveX軟體部件網路互動技術支持可自動執行的代碼程式,以強行修改用戶作業系統的註冊表設定及系統實用配置程式,或非法控制系統資源盜取用戶檔案,或惡意刪除硬碟檔案、格式化硬碟為行為目標的非法惡意程式。這種非法惡意程式能夠得以被自動執行,在於它完全不受用戶的控制。一旦瀏覽含有該病毒的網頁,即可以在你不知不覺的情況下馬上中招,給用戶的系統帶來一般性的、輕度性的、嚴重惡性等不同程度的破壞。
下載存在漏洞
網站建設中一旦被發現有木馬的痕跡,主要原因就是在其它站點下載所致,目前國內的大多數中小網站都是從網路上下載的免費系統建成的,這些系統在設計的時候存在或多或少的安全漏洞,如動網和動易以前都存在過上傳漏洞,導致駭客可以上傳木馬至網站,輕易獲得管理許可權。同時Win2003本身也存在設計缺陷,如前段時間出現的新漏洞:“IIS6 目錄檢查漏洞”。

偽裝方式

鑒於木馬病毒的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑制作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目的。

修改圖示

當你在E-MAIL的附屬檔案中看到這個圖示時,是否會認為這是個文本檔案呢?但是我不得不告 訴你,這也有可能是個木馬程式, 已經有木馬可以將木馬服務端程式的圖示改成HTML,TXT,ZIP等各種檔案的圖示,這有相當大的迷 惑性,但是提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提心弔膽,疑神疑鬼的。

捆綁檔案

這種偽裝手段是將木馬捆綁到一個安裝程式上,當安裝程式運行時,木馬在用戶毫無察覺的情況下,偷偷的進入了系統。至於被捆綁的檔案一般是執行檔(即EXE,COM一類的檔案)。

出錯顯示

有一定木馬知識的人都知道,如果打開一個檔案,沒有任何反應,這很可能就是個木馬程式,木馬的設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程式時,會彈出一個錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如“檔案已破壞,無法打開的!”之類的信息,當服務端用戶信以 為真時,木馬卻悄悄侵入了系統。

定製連線埠

很多老式的木馬連線埠都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 連線埠就 知道感染了什麼木馬,所以很多新式的木馬都加入了定製連線埠的功能,控制端用戶可 以在1024---65535之間任選一個連線埠作為木馬連線埠(一般不選1024以下的連線埠),這樣就給判斷 所感染木馬類型帶 來了麻煩。

自我銷毀

這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的檔案後,木馬會將自己拷貝到WINDOWS的系統資料夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),一般來說 原木馬檔案 和系統資料夾中的木馬檔案的大小是一樣的(捆綁檔案的木馬除外),那么中了木馬 的朋友只要在收到的信件和下載的軟體中找到原木馬檔案,然後根據原木馬的大小去系統 資料夾找相同大小的檔案,判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後,原木馬檔案將自動銷毀,這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。

木馬更名

安裝到系統資料夾中的木馬的檔案名稱一般是固定的,那么只要根據一些查殺木馬的文章,按 圖索驥在系統資料夾查找特定的檔案,就可以斷定中了什麼木馬。所以有很多木馬都允許控 制端用戶自由定製安裝後的木馬檔案名稱,這樣很難判斷所感染的木馬類型了。

相關案例

因好萊塢大片《特洛伊》而一舉成名的“木馬”(Trojan),在網際網路時代讓無數網民深受其害。無論是“網購”、“網銀”還是“網遊”的賬戶密碼,只要與錢有關的網路交易,都是當下木馬攻擊的重災區,用戶稍有不慎極有可能遭受重大錢財損失甚至隱私被竊。以下列舉一些案例。

支付大盜

“支付大盜”花錢上百度首頁。
“支付大盜”木馬出現在百度搜尋結果首位“支付大盜”木馬出現在百度搜尋結果首位
2012年12月6日,一款名為“支付大盜”的新型網購木馬被發現。木馬網站利用百度排名機制偽裝為“阿里旺旺官網”,誘騙網友下載運行木馬,再暗中劫持受害者網上支付資金,把付款對象篡改為黑客賬戶。

新鬼影

“新鬼影”借《江南Style》瘋傳。
火遍全球的《江南Style》很不幸被一種名為“新鬼影”的木馬盯上了。此木馬主要寄生在硬碟MBR(主引導扇區)中,如果用戶電腦沒有開啟安全軟體防護,中招後無論重灌系統還是格式化硬碟,都無法將其徹底清除乾淨。

圖片大盜

“圖片大盜”最愛私密照。
絕大多數網民都有一個困惑,為什麼自己電腦中的私密照會莫名其妙的出現在網上。“圖片大盜”木馬運行後會全盤掃描蒐集JPGPNG格式圖片,並篩選大小在100KB到2MB之間的檔案,暗中將其傳送到黑客伺服器上,對受害者隱私造成嚴重危害。

浮雲

“浮雲”木馬震驚全國。
 盜取網民錢財高達千萬元的“浮雲”成為了2012年度震驚全國的木馬。首先誘騙網民支付一筆小額假訂單,卻在後台執行另外一個高額定單,用戶確認後,高額轉賬資金就會進入黑客的賬戶。該木馬可以對20多家銀行的網上交易系統實施盜竊

黏蟲

“黏蟲”木馬專盜QQ。
“黏蟲”木馬製造的虛假QQ登錄框“黏蟲”木馬製造的虛假QQ登錄框
 “QQ黏蟲”在2011年度就被業界評為十大高危木馬之一,2012年該木馬變種捲土重來,偽裝成QQ登錄框竊取用戶QQ帳號及密碼。值得警惕的是不法分子盜竊QQ後,除了竊取帳號關聯的虛擬財產外,還有可能假冒身份向被害者的親友借錢。

怪魚

“怪魚”木馬襲擊微博
2012年十一長假剛剛結束,一種名為“怪魚”的新型木馬開始肆虐網路。該木馬充分利用了新興的社交網路,在中招電腦上自動登錄受害者微博帳號,發布虛假中獎等釣魚網站連結,絕對是2012年最具欺騙性的釣魚攻擊方式之一。

印表機木馬

“印表機木馬”瘋狂消耗紙張。
印表機木馬病毒瘋狂列印紙張印表機木馬病毒瘋狂列印紙張
2012年6月,號稱史上最不環保的“印表機木馬”(Trojan.Milicenso)現身,美國、印度、北歐等地區大批企業電腦中招,導致數千台印表機瘋狂列印毫無意義的內容,直到耗完紙張或強行關閉印表機才會停止。

網銀刺客

“網銀刺客”木馬暗算多家網銀。
2012年“3.15”期間大名鼎鼎的“網銀刺客”木馬開始大規模爆發,該木馬惡意利用某截圖軟體,把正當合法軟體作為自身保護傘,從而避開了不少防毒軟體的監控。運行後會暗中劫持網銀支付資金,影響十餘家主流網上銀行。

遙控彈窗機

“遙控彈窗機”木馬愛上偷菜。
“遙控彈窗機”是一款偽裝成“QQ農牧餐大師”等遊戲外掛的惡意木馬,運行後會劫持正常的QQ彈窗,不斷彈出大量低俗頁面及網購釣魚彈窗,並暗中與黑客伺服器連線,隨時獲取更新指令,使受害者面臨網路帳號被盜、個人隱私泄露的危險。
木馬程式木馬程式

Q幣木馬

“Q幣木馬”元旦來襲。
新年曆來是木馬病毒活躍的高峰期,2012元旦爆發的“Q幣木馬”令不少網民深受其害。該木馬偽造“元旦五折充值Q幣”的虛假QQ彈窗,誘騙中招用戶在Q幣充值頁面上進行支付,充值對象則被木馬篡改為黑客的QQ號碼,相當於掏錢替黑客買Q幣

修改中獎號碼

2009年6月,深圳一起涉及3305萬元的福利彩票詐欺案成了社會關注的焦點,深圳市某技術公司軟體開發工程師程某,利用在深圳福彩中心實施技術合作項目的機會,通過木馬程式,攻擊了存儲福彩信息的資料庫,並進一步進行了篡改彩票中獎數據的惡意行為,以期達到其牟取非法利益的目的。

藍色火焰木馬

《藍色火焰木馬》是一種國產木馬,由於它沒有客戶端程式,所以黑客能很輕易地利用機器里幾乎所有和網路相關的程式來控制它,它的服務端程式是運行在Windows平台上的,本質上可以說是一個微型的Telent、FTP和Web伺服器程式,只要外部使用Telent、FTP和瀏覽器就能控制它了。
查找方法
運行了《藍色火焰木馬》服務端程式“bf_server.exe”,會在C:\WINDOWS\SYSTEM資料夾下生成三個木馬文件“tasksvc.exe”、“sysexpl.exe”、“bfhook.dll”,前兩個檔案無論大小、圖示都和原木馬檔案一模一樣;最後一個檔案bfhook.dll為DLL檔案,大小為18K。一般是利用19191連線埠,最新是10K的“微型版”,則使用9191連線埠連線。在MSDOS視窗下運行“netstat -a”命令即可,如果發現有19191或9191連線埠開放,就表示中了《藍色火焰》木馬
清除方法
1、在“開始”選單的“運行”中輸入Regedit,打開註冊表編輯器,進入:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,找到"Network Services"="C:\\WINDOWS\\SYSTEM\\tasksvc.exe",刪除串值Network Services及其鍵值。
2、HKEY_CLASSES_ROOTtxtfile\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command之下,將C:\WINDOWS\SYSTEM\sysexpl.exe %1中的“sysexpl.exe %1”更改為“NOTEPAD.exe %1”。
3.到C:\WINDOWS\SYSTEM下,將tasksvc.exe、sysexpl.exe、bfhook.dll這三個檔案徹底刪除。

攻擊木馬

隨著DOS攻擊越來越廣泛的套用,被用作DOS攻擊的木馬也越來越流行起來。當你入侵了一台機器,給他種上DOS攻擊木馬,那么日後這台計算機就成為你DOS攻擊的最得力助手了。你控制的肉雞數量越多,你發動DOS攻擊取得成功的機率就越大。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在攻擊者可以利用它來攻擊一台又一台計算機,給網路造成很大的傷害和帶來損失。還有一種類似DOS的木馬叫做郵件炸彈木馬,一旦機器被感染,木馬就會隨機生成各種各樣主題的信件,對特定的信箱不停地傳送郵件,一直到對方癱瘓、不能接受郵件為止。

相關詞條

熱門詞條

聯絡我們