有哪些木马伪装方法
1:伪装图标—伪装成其他程序或者其他文件的图标以诱惑用户点击
2:利用捆绑—将木马文件和正常文件利用RAR或者其他捆绑工具进行捆绑。在用户运行正常程序的同时运行木马。
木马的伪装欺骗方法详解
如今大多数上网的朋友警惕性都很高,想骗他们执行木马是件很困难的事。即使电脑菜鸟都知道一见到exe 档案便不会轻易“招惹”它,因而中标的机会也就相对减少了。但黑客们是不会甘于寂寞的,所以就出现了很多更容易让人上当的木马伪装手段。本文介绍一些常见的木马伪装手段,希望对大家有所帮助。
1、将木马包装为影象档案
首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为影象档案,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用 。
只要入侵者扮成美眉及更改伺服器程式的档名例如 sam.exe 为“类似”影象档案的名称 ,再假装传送照片给受害者,受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?影象档案的副档名根本就不可能是 exe,而木马程式的副档名基本上又必定是 exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe档案,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把档名改变,例如把“sam.exe” 更改为“sam.jpg” ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为windows 预设值是不显示副档名的,所以很多人都不会注意到副档名这个问题,而恰好你的计算机又是设定为隐藏副档名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了!
还有一个问题就是,木马本身是没有图示的,而在电脑中它会显示一个windows 预设的图示,别人一看便会知道了!但入侵者还是有办法的,这就是给档案换个“马甲”,即用IconForge等图示档案修改档案图示,这样木马就被包装成 jpg 或其他图片格式的木马了,很多人会不经意间执行了它。
2、合并程式欺骗
通常有经验的使用者,是不会将影象档案和可执行档案混淆的,所以很多入侵者一不做二不休,干脆将木马程式说成是应用程式:反正都是以exe 作为副档名的。然后再变着花样欺骗受害者,例如说成是新出炉的游戏,无所不能的黑客程式等等,目地是让受害者立刻执行它。而木马程式执行后一般是没有任何反应的,于是在悄无声息中,很多受害者便以为是传送时档案损坏了而不再理会它。
如果有更小心的使用者,上面的方法有可能会使他们的产生坏疑,所以就衍生了一些合并程式。合并程式是可以将两个或以上的可执行档案exe档案 结合为一个档案,以后一旦执行这个合并档案,两个可执行档案就会同时执行。如果入侵者将一个正常的可执行档案一些小游戏如 wrap.exe 和一个木马程式合并,由于执行合并档案时 wrap.exe会正常执行,受害者在不知情中,背地里木马程式也同时执行了。而这其中最常用到的软体就是joiner,由于它具有更大的欺骗性,使得安装特洛伊木马的一举一动了无痕迹,是一件相当危险的黑客工具。
以往有不少可以把两个程式合并的软体为黑客所使用,但其中大多都已被各大防毒软体列作病毒了,而且它们有两个突出的问题存在,这问题就是:合并后的档案体积过大,只能合并两个执行档案。
正因为如此,黑客们纷纷弃之转而使用一个更简单而功能更强的软体,那就是Joiner,这个软体可以把影象档案、音讯档案与可执行档案合并,还能减小合并后文件体积,而且可以待使用者执行后立即收到资讯,告诉你对方已中招及对方的IP 。大家应该提高警惕。
3、以Z-file 伪装加密程式
Z-file 伪装加密软体经过将档案压缩加密之后,再以 bmp影象档案格式显示出来副档名是 bmp,执行后是一幅普通的影象。当初设计这个软体的本意只是用来加密资料,用以就算计算机被入侵或被非法使使用时,也不容易泄漏你的机密资料所在。不过如果到了黑客手中,却可以变成一个入侵他人的帮凶。 使用者会将木马程式和小游戏合并,再用 Z-file 加密及将 此“混合体”发给受害者,由于看上去是影象档案,受害者往往都不以为然,开启后又只是一般的图片,最可怕的地方还在于就连防毒软体也检测不出它内藏特洛伊木马和病毒。当打消了受害者警惕性后,再让他用WinZip 解压缩及执行 “伪装体 比方说还有一份小礼物要送给他,这样就可以成功地安装了木马程式。 如果入侵者有机会能使用受害者的电脑比如上门维修电脑,只要事先已经发出了“混合体,则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑,受害者根本不会怀疑有什么植入他的计算机中,而且时间并不长,30秒时间已经足够。就算是“明晃晃”地在受害者面前操作,他也不见得会看出这一双黑手正在干什么。特别值得一提的是,由于 “混合体” 可以躲过反病毒程式的检测,如果其中内含的是一触即发的病毒,那么一经结开压缩,后果将是不堪设想。
4、伪装成应用程式扩充套件元件
这一类属于最难识别的特洛伊木马。黑客们通常将木马程式写成为任何型别的档案 例如 dll、ocx等 然后挂在一个十分出名的软体中,让人不去怀疑安装档案的安全性,更不会有人检查它的档案多是否多了。而当受害者开启软体时,这个有问题的档案即会同时执行。 这种方式相比起用合并程式有一个更大的好处,那就是不用更改被入侵者的登入档案,以后每当其开启软体时木马程式都会同步执行
木马程序有哪些伪装方式?
修改图标
当在E-MAIL的附件中看到文本图标时,是否会认为这是个文本文件呢?其实这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的。
捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。
当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024—65535之间任选一个端口作为木马端口,这样就给判断所感染木马类型带来了麻烦。
自我销毁
这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(C:\\WINDOWS或C:\\WINDOWS\\SYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。
而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
木马更名
安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
0条大神的评论