当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
(2)捆绑文件
这种伪黑客利用木马病毒盗取网银用户,安装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
(3)出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者会提供一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框,错误内容可自由定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。 (4)定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断所感染木马类型带来了麻烦。
5)自我销毁
我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中,一般来说,原木马文件和系统文件夹中的木马文件的大小是一样的,那么中了木马的用户只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。
而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具的帮助下,就很难删除木马了。
(6)木马更名
安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在
有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。 4. 木马的运行方式
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWS\\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件,这样木马的安装就完成了。安装后就可以启动木马了,具体过程如下: (1)自启动激活木马
自启动木马的条件,大致出现在下面6个地方: ① 注册表:打开
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。
② WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。
③ SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mci], [drivers32]中有命令行,在其中寻找木马的启动命令。
④ Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。
⑤ *.INI: 即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
⑥ 启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。 (2)触发式激活木马
① 注册表:打开HKEY_CLASSES_ROOT文件类型\\shell\\open\\command主键,查看其键值。例如,国产木马“冰河”就是修改
HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command下的键值,将“C:WINDOWS\\NOTEPAD.EXE %1”改为“C:WINDOWS\\SYSTEM\\SYXXXPLR.EXE %1”
当用户双击一个TXT文件后,原本应用文本程序打开文件的,现在却变成启动木马程序了。还要说明的是不光TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马,不同之处只在于“文件类型”
这个主键的差别,TXT是txtfile,ZIP是WINZIP。
② 捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
③ 自动播放式:自动播放本是用于光盘的,当插入一个电影光盘到光驱时,系统会自动播放里面的内容,这就是自动播放的本意,播放什么是由光盘中的AutoRun.inf文件指定的,修改AutoRun.inf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬盘与U盘,在U盘或硬盘的分区,创建Autorun.inf文件,并在Open中指定木马程序,这样,当你打开硬盘分区或U盘时,就会触发木马程序的运行。
木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口开放,你就要注意是否感染木马了。 在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口: