木馬采用的偽裝方法
1.修改圖標
木馬服務端所用的圖標也是有講究的,木馬經常故意偽裝成了XT.HTML等你可能認為對系統沒有多少危害的文件圖標,這樣很容易誘惑你把它打開。看看,木馬是不是很狡猾?
2.捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的情況下,偷偷地進入了系統。被捆綁的文件一般是可執行文件 (即EXE、COM一類的文件)。
3.出錯顯示
有一定木馬知識的人部知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序。木馬的設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時,會彈出一個錯誤提示框 (這當然是假的),錯誤內容可自由定義,大多會定制成一些諸如 “文件已破壞,無法打開!”之類的信息,當服務端用戶信以為真時,木馬卻悄悄侵人了系統。
4.自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道,當服務端用戶打開含有木馬的文件后,木馬會將自己拷貝到Windows的系統文件夾中(C;\wmdows或C:\windows\system目錄下),一般來說,源木馬文件和系統文件夾中的木馬文件的大小是一樣的 (捆綁文件的木馬除外),那么,中了木馬的朋友只要在近來收到的信件和下載的軟件中找到源木馬文件,然后根據源木馬的大小去系統文件夾找相同大小的文件,判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬后,源木馬文件自動銷毀,這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工具幫助下。就很難刪除木馬了。
5.木馬更名
木馬服務端程序的命名也有很大的學問。如果不做任何修改,就使用原來的名字,誰不知道這是個木馬程序呢?所以木馬的命名也是千奇百怪,不過大多是改為和系統文件名差不多的名字,如果你對系統文件不夠了解,那可就危險了。例如有的木馬把名字改為window.exe,如果不告訴你這是木馬的話,你敢刪除嗎?還有的就是更改一些后綴名,比如把dll改為dl等,不仔細看的,你會發現嗎?
木馬的種類
1、破壞型
惟一的功能就是破壞并且刪除文件,可以自動的刪除電腦上的DLL、INI、EXE文件。
2、密碼發送型
可以找到隱藏密碼并把它們發送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中,認為這樣方便;還有人喜歡用WINDOWS提供的密碼記憶功能,這樣就可以不必每次都輸入密碼了。許多黑客軟件可以尋找到這些文件,把它們送到黑客手中。也有些黑客軟件長期潛伏,記錄操作者的鍵盤操作,從中尋找有用的密碼。
在這里提醒一下,不要認為自己在文檔中加了密碼而把重要的保密文件存在公用計算機中,那你就大錯特錯了。別有用心的人完全可以用窮舉法暴力破譯你的密碼。利用WINDOWS API函數EnumWindows和EnumChildWindows對當前運行的所有程序的所有窗口(包括控件)進行遍歷,通過窗口標題查找密碼輸入和出確認重新輸入窗口,通過按鈕標題查找我們應該單擊的按鈕,通過ES_PASSWORD查找我們需要鍵入的密碼窗口。向密碼輸入窗口發送WM_SETTEXT消息模擬輸入密碼,向按鈕窗口發送WM_COMMAND消息模擬單擊。在破解過程中,把密碼保存在一個文件中,以便在下一個序列的密碼再次進行窮舉或多部機器同時進行分工窮舉,直到找到密碼為止。此類程序在黑客網站上唾手可得,精通程序設計的人,完全可以自編一個。
3、遠程訪問型
最廣泛的是特洛伊馬,只需有人運行了服務端程序,如果客戶知道了服務端的IP地址,就可以實現遠程控制。以下的程序可以實現觀察”受害者”正在干什么,當然這個程序完全可以用在正道上的,比如監視學生機的操作。
程序中用的UDP(User Datagram Protocol,用戶報文協議)是因特網上廣泛采用的通信協議之一。與TCP協議不同,它是一種非連接的傳輸協議,沒有確認機制,可靠性不如TCP,但它的效率卻比TCP高,用于遠程屏幕監視還是比較適合的。它不區分服務器端和客戶端,只區分發送端和接收端,編程上較為簡單,故選用了UDP協議。本程序中用了DELPHI提供的TNMUDP控件。
4.鍵盤記錄木馬
這種特洛伊木馬是非常簡單的。它們只做一件事情,就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。據筆者經驗,這種特洛伊木馬隨著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項,顧名思義,它們分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況。也就是說你按過什么按鍵,下木馬的人都知道,從這些按鍵中他很容易就會得到你的密碼等有用信息,甚至是你的信用卡賬號哦!當然,對于這種類型的木馬,郵件發送功能也是必不可少的。
#p#副標題#e#
5.DoS攻擊木馬
隨著DoS攻擊越來越廣泛的應用,被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一臺機器,給他種上DoS攻擊木馬,那么日后這臺計算機就成為你DoS攻擊的最得力助手了。你控制的肉雞數量越多,你發動DoS攻擊取得成功的機率就越大。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在攻擊者可以利用它來攻擊一臺又一臺計算機,給網絡造成很大的傷害和帶來損失。
還有一種類似DoS的木馬叫做郵件炸彈木馬,一旦機器被感染,木馬就會隨機生成各種各樣主題的信件,對特定的郵箱不停地發送郵件,一直到對方癱瘓、不能接受郵件為止。
6.代理木馬
黑客在入侵的同時掩蓋自己的足跡,謹防別人發現自己的身份是非常重要的,因此,給被控制的肉雞種上代理木馬,讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬,攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC等程序,從而隱蔽自己的蹤跡。
7.FTP木馬
這種木馬可能是最簡單和古老的木馬了,它的惟一功能就是打開21端口,等待用戶連接。現在新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進人對方計算機。
8.程序殺手木馬
上面的木馬功能雖然形形色色,不過到了對方機器上要發揮自己的作用,還要過防木馬軟件這一關才行。常見的防木馬軟件有ZoneAlarm,Norton Anti-Virus等。程序殺手木馬的功能就是關閉對方機器上運行的這類程序,讓其他的木馬更好地發揮作用。
9.反彈端口型木馬
木馬是木馬開發者在分析了防火墻的特性后發現:防火墻對于連入的鏈接往往會進行非常嚴格的過濾,但是對于連出的鏈接卻疏于防范。于是,與一般的木馬相反,反彈端口型木馬的服務端 (被控制端)使用主動端口,客戶端 (控制端)使用被動端口。木馬定時監測控制端的存在,發現控制端上線立即彈出端口主動連結控制端打開的主動端口;為了隱蔽起見,控制端的被動端口一般開在80,即使用戶使用掃描軟件檢查自己的端口,發現類似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情況,稍微疏忽一點,你就會以為是自己在瀏覽網頁。
中木馬后出現的狀況
對于一些常見的木馬,如SUB7、BO2000、冰河等等,它們都是采用打開TCP端口監聽和寫人注冊表啟動等方式,使用木馬克星之類的軟件可以檢測到這些木馬,這些檢測木馬的軟件大多都是利用檢測TCP連結、注冊表等信息來判斷是否有木馬人侵,因此我們也可以通過手工來偵測木馬。
也許你會對硬盤空間莫名其妙減少500M感到習以為常,這的確算不了什么,天知道Windows的臨時文件和那些烏七八糟的游戲吞噬了自己多少硬盤空間。可是,還是有一些現象會讓你感到警覺,一旦你覺得你自己的電腦感染了木馬,你應該馬上用殺毒軟件檢查一下自己的計算機,然后不管結果如何,就算是Norton告訴你,你的機器沒有木馬,你也應該再親自作一次更深人的調查,確保自己機器安全。經常關注新的和出名的木馬的特性報告,這將對你診斷自己的計算機問題很有幫助。
(1)當你瀏覽一個網站,彈出來一些廣告窗口是很正常的事情,可是如果你根本沒有打開瀏覽器,而覽瀏器突然自己打開,并且進入某個網站,那么,你要小心。
(2)你正在操作電腦,突然一個警告框或者是詢問框彈出來,問一些你從來沒有在電腦上接觸過的間題。
(3)你的Windows系統配置老是自動莫名其妙地被更改。比如屏保顯示的文字,時間和日期,聲音大小,鼠標靈敏度,還有CD-ROM的自動運行配置。
(4)硬盤老沒緣由地讀盤,軟驅燈經常自己亮起,網絡連接及鼠標屏幕出現異常現象。
這時,最簡單的方法就是使用netstat-a命令查看。你可以通過這個命令發現所有網絡連接,如果這時有攻擊者通過木馬連接,你可以通過這些信息發現異常。通過端口掃描的方法也可以發現一些弱智的木馬,特別是一些早期的木馬,它們捆綁的端口不能更改,通過掃描這些固定的端口也可以發現木馬是否被植入。
當然,沒有上面的種種現象并不代表你就絕對安全。有些人攻擊你的機器不過是想尋找一個跳板。做更重要的事情;可是有些人攻擊你的計算機純粹是為了好玩。對于純粹處于好玩目的的攻擊者,你可以很容易地發現攻擊的痕跡;對于那些隱藏得很深,并且想把你的機器變成一臺他可以長期使用的肉雞的黑客們,你的檢查工作將變得異常艱苦并且需要你對入侵和木馬有超人的敏感度,而這些能力,都是在平常的電腦使用過程日積月累而成的。
我們還可以通過軟件來檢查系統進程來發現木馬。如利用進程管理軟件來查看進程,如果發現可疑進程就殺死它。那么,如何知道哪個進程是可疑的呢?教你一個笨方法,有以下進程絕對是正常的:EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE(如果打開了IE),而出現了其他的、你沒有運行的程序的進程就很可疑了。一句話,具體情況具體分析。
被感染后的緊急措施
如果不幸你的計算機已經被木馬光臨過了,你的系統文件被黑客改得一塌糊涂,硬盤上稀里糊涂得多出來一大堆亂七八糟的文件,很多重要的數據也可能被黑客竊取。這里給你提供3條建議,希望可以幫助你:
(1)所有的賬號和密碼都要馬上更改,例如撥號連接,ICQ,mIRC,FTP,你的個人站點,免費郵箱等等,凡是需要密碼的地方,你都要把密碼盡快改過來。
(2)刪掉所有你硬盤上原來沒有的東西。
(3)檢查一次硬盤上是否有病毒存在。
木馬的出現對我們的系統造成了很大的危害,但是由于木馬通常植入得非常隱蔽,很難完全刪除,因此,這里我們介紹一些常見木馬的清除方法。
1. 網絡公牛(Netbull)
網絡公牛是國產木馬,默認連接端口23444。服務端程序newserver.exe運行后,會自動脫殼成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次開機checkdll.exe將自動運行,因此很隱蔽、危害很大。同時,服務端運行后會自動捆綁以下文件:
win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服務端運行后還會捆綁在開機時自動運行的第三方軟件(如:realplay.exe、QQ、ICQ等)上,在注冊表中網絡公牛也悄悄地扎下了根。
網絡公牛采用的是文件捆綁功能,和上面所列出的文件捆綁在一塊,要清除非常困難。這樣做也有個缺點:容易暴露自己!只要是稍微有經驗的用戶,就會發現文件長度發生了變化,從而懷疑自己中了木馬。
清除方法:
1.刪除網絡公牛的自啟動程序C:\WINDOWS\SYSTEM\CheckDll.exe。
2.把網絡公牛在注冊表中所建立的鍵值全部刪除:
3.檢查上面列出的文件,如果發現文件長度發生變化(大約增加了40K左右,可以通過與其它機子上的正常文件比較而知),就刪除它們!然后點擊“開始→附件→系統工具→系統信息→工具→系統文件檢查器”,在彈出的對話框中選中“從安裝軟盤提取一個文件(E)”,在框中填入要提取的文件(前面你刪除的文件),點“確定”按鈕,然后按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件如:realplay.exe、QQ、ICQ等被捆綁上了,那就得把這些文件刪除,再重新安裝。
2. Netspy(網絡精靈)
Netspy又名網絡精靈,是國產木馬,最新版本為3.0,默認連接端口為7306。在該版本中新添加了注冊表編輯功能和瀏覽器監控功能,客戶端現在可以不用NetMonitor,通過IE或Navigate就可以進行遠程監控了。服務端程序被執行后,會在C:\Windows\system目錄下生成netspy.exe文件。同時在注冊表HKEY_LOCAL_MACHINE\software\ microsoft\windows\CurrentVersion \Run\下建立鍵值C\windows\ system\netspy.exe,用于在系統啟動時自動加載運行。
清除方法:
1.重新啟動機器并在出現Staring windows提示時,按F5鍵進入命令行狀態。在C:\windows\system\目錄下輸入以下命令:del netspy.exe;
2.進入HKEY_LOCAL_MACHINE\
Software\microsoft\windows\ CurrentVersion\Run\,刪除Netspy的鍵值即可安全清除Netspy。
3. SubSeven
SubSeven的功能比起BO2K可以說有過之而無不及。最新版為2.2(默認連接端口27374),服務端只有54.5k,很容易被捆綁到其它軟件而不被發現。最新版的金山毒霸等殺毒軟件查不到它。服務器端程序server.exe,客戶端程序subseven.exe。SubSeven服務端被執行后,變化多端,每次啟動的進程名都會發生變化,因此很難查。
清除方法:
1.打開注冊表Regedit,點擊至: HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run和RunService下,如果有加載文件,就刪除右邊的項目:加載器=“c:\windows\system\***”。注:加載器和文件名是隨意改變的
2.打開win.ini文件,檢查“run=”后有沒有加上某個可執行文件名,如有則刪除之。
3.打開system.ini文件,檢查“shell=explorer.exe”后有沒有跟某個文件,如有將它刪除。
4.重新啟動Windows,刪除相對應的木馬程序,一般在c:\windows\system下,在我在本機上做實驗時發現該文件名為vqpbk.exe。
4. 冰河
我們這里介紹的是其標準版,掌握了如何清除標準版,再來對付變種冰河就很容易了。 冰河的服務器端程序為G-server.exe,客戶端程序為G-client.exe,默認連接端口為7626。一旦運行G-server,那么該程序就會在C:\Windows\system目錄下生成Kernel32.exe和sysexplr.exe,并刪除自身。Kernel32.exe在系統啟動時自動加載運行,sysexplr.exe和TXT文件關聯。即使你刪除了Kernel32.exe,但只要你打開TXT文件,sysexplr.exe就會被激活,它將再次生成Kernel32.exe。
清除方法:
1.刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件;
2.冰河會在注冊表HKEY_LOCAL_
MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根,鍵值為C:\windows\system\Kernel32.exe,刪除它;
3.在注冊表的HKEY_LOCAL_
MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下,還有鍵值為C:\windows\system\Kernel32.exe的,也要刪除;
4.最后,改注冊表HKEY_CLASSES_
ROOT\txtfile\shell\open\command下的默認值,由表中木馬后的C:\windows\system\Sysexplr.exe %1改為正常的C:\windows\notepad.exe %1,即可恢復TXT文件關聯功能。
5. 網絡神偷(Nethief)
網絡神偷是個反彈端口型木馬。什么叫“反彈端口”型木馬呢?與一般的木馬相反,反彈端口型木馬的服務端(被控制端)使用主動端口,客戶端(控制端)使用被動端口,為了隱蔽起見,客戶端的監聽端口一般開在80,這樣,即使用戶使用端口掃描軟件檢查自己的端口,發現的也是類似“TCP 服務端的IP地址:1026 客戶端的IP地址:80 ESTABLISHED”的情況,稍微疏忽一點你就會以為是自己在瀏覽網頁。
清除方法:
1.網絡神偷會在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run下建立鍵值“internet”,其值為“internet.exe /s”,將鍵值刪除;
2.刪除其自啟動程序C:\WINDOWS\SYSTEM\INTERNET.EXE。
6. 廣外女生
“廣外女生”是是一種新出現的遠程監控工具,破壞性很大,遠程上傳、下載、刪除文件、修改注冊表等自然不在話下。其可怕之處在于“廣外女生”服務端被執行后,會自動檢查進程中是否含有“金山毒霸”、“天網”等字樣,如果發現就將該進程終止,也就是說使防火墻完全失去作用。
清除方法:
1.啟動到純DOS模式下,找到System目錄下的DIAGFG.EXE,刪除它;
2.我們找到Windows目錄中的注冊表編輯器“Regedit.exe”,將它改名為“Regedit.com”;
3.回到Windows模式下,運行Windows目錄下的Regedit.com程序(就是我們剛才改名的文件);
4.找到HKEY_CLASSES_ROOT\
exefile\shell\open\command,將其默認鍵值改成”%1″ %*;
5刪除注冊表中名稱為“Diagnostic Configuration”的鍵值;
6.關掉注冊表編輯器,回到Windows目錄,將“Regedit.com”改回“Regedit.exe”。
7. WAY2.4
WAY2.4是國產木馬程序,默認連接端口是8011。WAY2.4的注冊表操作的確有特色,對受控端注冊表的讀寫,就和本地注冊表讀寫一樣方便!WAY2.4服務端被運行后在C:\windows\system下生成msgsvc.exe文件,圖標是文本文件的圖標,很隱蔽。看來它想冒充系統文件msgsvc32.exe。同時,WAY2.4在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask。
清除方法:
用進程管理工具查看,你會發現進程CWAY,只要刪除它在注冊表中的鍵值,再刪除C:\windows\system下的msgsvc.exe這個文件就可以了。
要注意在Windows下直接刪除msgsvc.exe是刪不掉的,此時你可以用進程管理工具終止它的進程,然后再刪除它。或者到DoS下刪除msgsvc.exe也可。如果服務端已經和可執行文件捆綁在一起了,那就只有將那個可執行文件也刪除了。注意在刪除前請做好備份。
]]>