火眼金睛識木馬 木馬畫皮偽裝七計(圖)
木馬程式一般分為客戶端程式和服務端程式兩部分,客戶端程式用於遠程式控制制電腦。而服務端程式,則隱藏到遠程電腦中,接收並執行客戶端程式發出的命令。所以當駭客通過網路控制一台遠程電腦時,第一步就需要將服務端程式植入到遠程電腦。為了能夠讓用戶執行木馬程式,駭客常常通過各種方式對它進行偽裝,這種偽裝就是我們說的木馬畫皮。自木馬誕生以來,駭客們為了木馬的隱蔽性,各種偽裝伎倆可謂層出不窮,讓人防不勝防。那麼就讓我們一起來練就一雙火眼金睛,拆穿木馬畫皮伎倆,將這些不速之客拒之門外。
畫皮第一計:圖標偽裝 偽裝等級:★★★★
在Windows系統中,每種文件類型使用不同的圖標進行表示,用戶通過一種圖標就可以輕易地判斷出這是那種文件類型。駭客為了迷惑用戶,將木馬服務端程式的圖標換成一些常見的文件類型的圖標,這樣當用戶運行以後,噩夢也就開始了。
實例:黑洞2001服務端的安裝程式使用了文件夾的圖標(圖1),當你隱藏了已知文件類型的擴展名時,這個文件看上去就是一個文件夾,當你好奇地點擊它,打算進去看看有什麼文件的時候,潘多拉的盒子就打開了。
圖 1
識別方法
平時我們在運行一個文件的時候,常常習慣於利用滑鼠雙擊運行它,這樣Windows系統首先會判斷文件類型打開其關聯程式,然後再打開這個文件。這樣運行方法就很容易激活修改了圖標的木馬程式。其實,我們只需要換一種方式,就可以避免。比如我們看到一個文本文件的文件後,並不要雙擊打開它,而是首先打開記事本程式,然後通過“文件”功能表中的“打開”命令來打開這個文件,如果顯示出的是亂碼,那麼這個“文本文件”就肯定有問題。
安全專家點評:更換圖標是最基本的木馬服務端的偽裝方式,但是只使用這一種方式是遠遠不夠的。駭客會將它和文件更名、文件捆綁等一系列的偽裝方式進行組合,這樣才能騙得用戶運行。所以不要隨意執行別人發來的文件,那怕他是你的朋友也要謹慎一些。
畫皮第二計:改名換姓 偽裝等級:★★★
圖標修改往往和文件改名是一起進行的,駭客往往將文件的名稱取得非常的誘人,比如“漂亮的妹妹”之類,騙用戶去運行它。當木馬服務端程式運行以後,服務端程式也會將自己的進程設置為和正常的系統進程相似的名稱,從而使用戶不容易產生懷疑,被其麻痹。
實例:如圖2所示,這是筆者製作的木馬服務端安裝程式,它在電腦上顯示為“漂亮的妹妹.bmp”。如果你把它當作一個圖像文件來打開的話,筆者的木馬也就在你的電腦中安營紮寨了。
圖 2
識別方法
首先要明確,不論木馬如何偽裝自己的圖標和文件名,它的尾碼部分必須是一個可執行的擴展名,比如EXE、COM、BAT等,否則木馬不會運行自己的代碼, 在Windows系統的默認設置下會隱藏已知文件的擴展名,如果木馬把自己的文件名改成了“XXX.bmp.exe”這個樣子,擴展名“.exe”隱藏後,木馬的文件名就會變成“XXX.bmp”,再給這個文件配一個圖像文件的圖標,這個文件就會變成“一隻披著羊皮的狼”。在“文件夾選項”對話方塊中選取“隱藏已知文件類型的擴展名”選項,具體的操作為:打開資源管理器,在功能表欄選擇“工具→文件夾選擇”打開“文件夾選擇”對話方塊,去掉“隱藏已知文件類型的擴展名”復選框中的小鉤即可撕掉這部分木馬的畫皮。
安全專家點評:這種方式在利用P2P程式進行文件傳輸的時候常常用到,而且通常是和圖標偽裝一起使用,讓用戶防不勝防。所以無論從那裏得到的文件,在使用以前都通過殺毒軟體對它進行一番查殺最好。
畫皮第三計:文件捆綁 偽裝等級:★★★★★
文件捆綁就是通過使用文件捆綁器將木馬服務端和正常的文件捆綁在一起,達到欺騙對方從而運行捆綁的木馬程式。捆綁後的文件很有迷惑性,而且加上木馬一般在後臺運行,用戶點擊後不會出現什麼異狀,往往會在不知不覺中中招。
實例:筆者將木馬程式捆綁在電子書後得到的文件(圖3),和文件捆綁後得到的文件並沒有損害,用戶點擊後仍能夠看到電子書中的內容。這種方法有很大的迷惑性。
圖 3
識別方法
使用木馬捆綁剋星、FBFD等程式檢查可疑的可執行文件,當文件進行了捆綁,程式就會出現類似“文件可能經過捆綁,請小心使用!”這樣的提示。木馬捆綁剋星除了能檢測出可執行文件中的其他程式,而且還能把捆綁在其中的程式分離出來。
安全專家點評:隨著人們網路安全意識的提高,以前很多的駭客攻擊手段已經得到了有效的遏制,可是利用文件捆綁來進行木馬服務端程式的傳播,卻一直受到駭客的鍾愛。所以用戶在運行可執行文件時,一定要提高警惕。
畫皮第四計:出錯顯示 偽裝等級:★★★
絕大多數木馬服務端安裝時不會出現任何圖形介面,因此,如果一個程式雙擊後沒有任何反應,有經驗的網民就會懷疑它是木馬。為了消除這部分人心中的疑慮,駭客會讓木馬在被運行時彈出一個錯誤提示對話方塊。
實例:如今的木馬程式,很多都有“安裝完畢後顯示提示”的選項,例如木馬HDSPY,用戶在配置服務端程式後,在“提示內容”輸入框中輸入需要的提示內容,例如“文件已損壞,無法打開”等。當用戶運行服務端程式後,就會彈出我們設置的內容。
識別方法
如果該文件是木馬程式,用戶在看到了出錯資訊的時候往往已經中招。所以用戶看到錯誤資訊的時候要有所警覺,這個時候就要通過掃描系統端口判斷自己是否中了木馬。比如可以採用X-Scan對自己的系統進行掃描。如果發現可疑端口就要進行相應的查殺。
安全專家點評:這種方法雖然在早期可以騙得用戶,但隨著人們安全意識的提高,往往給人一種“畫蛇添足”的感覺。
畫皮第五計:自我銷毀 偽裝等級:★★★
大多數木馬本身只有一個文件,它的安裝程式其實就是木馬服務端程式,當你雙擊了一個木馬的安裝程式後,它會把自己拷貝到系統目錄或其他目錄,因此,一些有經驗的網民如果懷疑一個程式是木馬,它會根據安裝程式的大小在硬盤上搜索木馬文件。為了對付這部分網民,一些木馬設計了自我銷毀的功能,當它把自己拷貝到系統目錄或其他目錄後,它會把自己刪除,讓你無據可查。
識別方法
對於這種方法就需要對系統的註冊表進行即時監測和使用木馬利用殺毒軟體對系統以及註冊表進行及時監控。一般木馬會在系統註冊表中留下痕跡。這個時候我們就可以根據這些蛛絲馬跡揪出這些木馬。
安全專家點評:利用這種方式進行木馬種植的,主要是利用了網頁木馬和遠程溢出等方式。因為駭客利用網頁木馬或遠程溢出,都是在用戶不知情的情況下,將木馬植入遠程系統的。既然遠程用戶不知情,利用木馬的自我銷毀功能就可以做到“來無影去無蹤”。
畫皮第六計:網頁“嫁衣” 偽裝等級:★★★★
網頁木馬是駭客成功利用了系統以及一些程式的漏洞,誘騙用戶瀏覽某個特殊的網頁,在用戶瀏覽的時候,網頁木馬就會成功地利用系統的漏洞,從而將設置的木馬服務端程式“悄悄地”安裝到遠程系統中。
實例:製作網頁木馬有很多現成的工具,動鯊網頁木馬生成器就是很優秀的一款,該木馬生成器利用了微軟的IE Help ActiveX控件漏洞繞過本地安全域。
識別方法
如果你在訪問了一個不熟悉的網頁後,電腦上網的速度突然下降,甚至出現假死的情況,那麼就可能是中了網頁木馬了。大家可以在訪問不熟悉的網頁前用“view-source”這個IE命令查看網頁的源代碼。如果發現源代碼中有<IFRAME name=zhu src="ww.XXX.htm" frameBorder=0 width=0 height=0>之類的就不要訪問了。
安全專家點評:利用網頁木馬傳播木馬服務端程式,是當前非常流行的一種方法。受害者在不經意之間就被種植了木馬程式。對不熟悉的網頁最好不要去訪問,如果訪問後系統出現問題要斷網查殺木馬。
畫皮第七計:郵件附件 偽裝等級:★★
通過電子郵件的附件,進行簡單的文件傳輸,本來是為了方便用戶。可駭客正是看中了這一點,通過偽造一些著名的企業或用戶好友的郵件來欺騙用戶,通過郵件附件來傳播木馬服務端程式。
實例:駭客在郵件附件中加入木馬後,一般會使用比較有迷惑性的語句來騙取用戶的信任。比如 “這是Windows最新的安全補丁程式,請運行後重新啟動系統。”
識別方法
不要立即運行郵件附件,而是將它“另存為”到一個文件夾,然後對文件夾進行查殺檢測,發現問題立即刪除。
安全專家點評:利用電子郵件的附件,是最常見的木馬和病毒的傳播方法。一般沒有經驗的用戶會上當中招。但是因為很多郵件系統自帶殺毒系統,所以現在已經不是很流行了。