黑客偽裝木馬程序的常見方法
互聯(lián)網(wǎng)已經(jīng)日益普及了,大多數(shù)的互聯(lián)網(wǎng)用戶也意識到了網(wǎng)絡安全問題的重要,如今網(wǎng)友們的警惕性都很高,想要直接讓他們執(zhí)行木馬程序可謂是比登蜀道還難了。木馬程序由來已久,可能即便是平常不上網(wǎng)的朋友都有所聽聞,更何況是互聯(lián)網(wǎng)的老手了。但是如同高手寂寞,黑客們可是不甘寂寞的,挑戰(zhàn)才是他們所要的生活,所以越來越多的偽裝星木馬程序開始出現(xiàn)了。
1、冒充為圖像文件
首先,黑客最常使用騙別人執(zhí)行木馬程序的方法,就是將特木馬程序說成為圖像文件,比如說是照片等,應該說這是一個最不合邏輯的方法,但卻是最多人中招的方法,有效而又實用 。
只要入侵者扮成美眉及更改服務器程序的文件名(例如 sam.exe )為“類似”圖像文件的名稱,再假裝傳送照片給受害者,受害者就會立刻執(zhí)行它。為甚么說這是一個不合邏輯的方法呢?圖像文件的擴展名根本就不可能是 exe,而木馬程序的擴展名基本上又必定是 exe ,明眼人一看就會知道有問題,多數(shù)人在接收時一看見是exe文件,便不會接收了,那有什么方法呢? 其實方法很簡單,他只要把文件名改變,例如把“sam.exe” 更改為“sam.jpg” ,那么在傳送時,對方只會看見sam.jpg 了,而到達對方電腦時,因為windows 默認值是不顯示擴展名的,所以很多人都不會注意到擴展名這個問題,而恰好你的計算機又是設定為隱藏擴展名的話,那么你看到的只是sam.jpg 了,受騙也就在所難免了!
還有一個問題就是,木馬程序本身是沒有圖標的,而在電腦中它會顯示一個windows 預設的圖標,別人一看便會知道了!但入侵者還是有辦法的,這就是給文件換個“馬甲”,即修改文件圖標。
修改文件圖標的方法如下:
(1)比如下載一個名為IconForge 的軟件,再進行安裝。 下載地址:http://www.skycn.com/soft/2473.html
(2)執(zhí)行程序,按下File > Open
(3)在File Type 選擇exe 類
(4)在File > Open 中載入預先制作好的圖標( 可以用繪圖軟件或專門制作icon 的軟件制作,也可以在網(wǎng)上找找) 。
(5)然后按下File > Save 便可以了。
如此這般最后得出的,便是看似jpg 或其他圖片格式的木馬程序了,很多人就會不經(jīng)意間執(zhí)行了它。
2、合并程序欺騙
通常有經(jīng)驗的用戶,是不會將圖像文件和可執(zhí)行文件混淆的,所以很多入侵者一不做二不休,干脆將木馬程序說成是應用程序:反正都是以 exe 作為擴展名的。然后再變著花樣欺騙受害者,例如說成是新出爐的游戲,無所不能的黑客程序等等,目地是讓受害者立刻執(zhí)行它。而木馬程序執(zhí)行后一般是沒有任何反應的,于是在悄無聲息中,很多受害者便以為是傳送時文件損壞了而不再理會它。
如果有更小心的用戶,上面的方法有可能會使他們的產(chǎn)生壞疑,所以就衍生了一些合拼程序。合拼程序是可以將兩個或以上的可執(zhí)行文件(exe文件) 結合為一個文件,以后 o需執(zhí)行這個合拼文件,兩個可執(zhí)行文件就會同時執(zhí)行。如果入侵者將一個正常的可執(zhí)行文件(一些小游戲如 wrap.exe) 和一個木馬程序合拼,由于執(zhí)行合拼文件時 wrap.exe會正常執(zhí)行,受害者在不知情中,背地里木馬程序也同時執(zhí)行了。而這其中最常用到的軟件就是joiner,由于它具有更大的欺騙性,使得安裝特洛伊木馬的一舉一動了無痕跡,是一件相當危險的黑客工具。讓我們來看一下它是如何運作的:
以往有不少可以把兩個程序合拼的軟件為黑客所使用,但其中大多都已被各大防毒軟件列作病毒了,而且它們有兩個突出的問題存在,這問題就是:
(1)合拼后的文件體積過大
(2)只能合拼兩個執(zhí)行文件
正因為如此,黑客們紛紛棄之轉而使用一個更簡單而功能更強的軟件,那就是Joiner 了。此軟件不但把軟件合拼后的體積減少,而且可以待使用者執(zhí)行后立馬就能收到一個icq 的信息,告訴你對方已中招及對方的IP ,更重要的是這個軟件可以把圖像文件、音頻文件與可執(zhí)行文件合拼,用起來相當方便。
首先把Joiner 解壓,然后執(zhí)行Joiner ,在程序的畫面里,有“First executable : ”及“ Second File : ”兩項,這兩行的右方都有一個文件夾圖標,分別各自選擇想合拼的文件。
下面還有一個Enable ICQ notification 的空格,如果選取后,當對方執(zhí)行了文件時,便會收到對方的一個ICQ Web Messgaer ,里面會有對方的ip ,當然要在下面的ICQ number 填上欲收取信息的icq 號碼。但開啟這個功能后,合拼后的文件會比較大。
最后便按下“Join” ,在Joiner 的文件夾里,便會出現(xiàn)一個Result.exe 的文件,文件可更改名稱,因而這種“混合體”的木馬程序隱蔽性是不言而喻的。
3、以Z-file 偽裝加密程序
Z-file 偽裝加密軟件是臺灣華順科技的產(chǎn)品,其經(jīng)過將文件壓縮加密之后,再以 bmp圖像文件格式顯示出來(擴展名是 bmp,執(zhí)行后是一幅普通的圖像)。當初設計這個軟件的本意只是用來加密數(shù)據(jù),用以就算計算機被入侵或被非法使使用時,也不容易泄漏你的機密數(shù)據(jù)所在。不過如果到了黑客手中,卻可以變成一個入侵他人的幫兇。 使用者會將木馬程序和小游戲合拼,再用 Z-file 加密及將此“混合體”發(fā)給受害者,由于看上去是圖像文件,受害者往往都不以為然,打開后又只是一般的圖片,最可怕的地方還在于就連殺毒軟件也檢測不出它內藏特洛伊木馬,甚至病毒!當打消了受害者警惕性后,再讓他用WinZip 解壓縮及執(zhí)行 “偽裝體 (比方說還有一份小禮物要送給他),這樣就可以成功地安裝了木馬程序。如果入侵者有機會能使用受害者的電腦(比如上門維修電腦),只要事先已經(jīng)發(fā)出了“混合體,則可以直接用 Winzip 對其進行解壓及安裝。由于上門維修是赤著手使用其電腦,受害者根本不會懷疑有什么植入他的計算機中,而且時間并不長,30秒時間已經(jīng)足夠。就算是“明晃晃 ”地在受害者面前操作,他也不見得會看出這一雙黑手正在干什么。特別值得一提的是,由于 “混合體” 可以躲過反病毒程序的檢測,如果其中內含的是一觸即發(fā)的病毒,那么一經(jīng)結開壓縮,后果將是不堪設想。
4、偽裝成應用程序擴展組件
此類屬于最難識別的特洛伊木馬。黑客們通常將木馬程序寫成為任何類型的文件 (例如 dll、ocx等) 然后掛在一個十分出名的軟件中,例如 OICQ 。由于OICQ本身已有一定的知名度,沒有人會懷疑它的安全性,更不會有人檢查它的文件多是否多了。而當受害者打開OICQ時,這個有問題的文件即會同時執(zhí)行。 此種方式相比起用合拼程序有一個更大的好處,那就是不用更改被入侵者的登錄文件,以后每當其打開OICQ時木馬程序就會同步運行,相較一般特洛伊木馬可說是“踏雪無痕”。更要命的是,此類入侵者大多也是特洛伊木馬編寫者,只要稍加改動,就會派生出一支新木馬來,所以即使殺是毒軟件也拿它沒有絲毫辦法。
【編輯推薦】
