防不勝防 淺談木馬的十大(dà)潛伏“詭招”

發布日期:2011-07-24首頁 > 安全資(zī)訊
1、集成到程序中(zhōng)

其實木馬也是一(yī)個服務器-客戶端程序,它爲了不讓用戶能輕易地把它删除,就常常集成到程序裏,一(yī)旦用戶激活木馬程序,那麽木馬文件和某一(yī)應用程序捆綁在一(yī)起,然後上傳到服務端覆蓋原文件,這樣即使木馬被删除了,隻要運行捆綁了木馬的應用程序,木馬又(yòu)會被安裝上去(qù)了。綁定到某一(yī)應用程序中(zhōng),如綁定到系統文件,那麽每一(yī)次Windows啓動均會啓動木馬。

2、隐藏在配置文件中(zhōng)

木馬實在是太狡猾,知(zhī)道菜鳥們平時使用的是圖形化界面的操作系統,對于那些已經不太重要的配置文件大(dà)多數是不聞不問了,這正好給木馬提供了一(yī)個藏身之處。而且利用配置文件的特殊作用,木馬很容易就能在大(dà)家的計算機中(zhōng)運行、發作,從而偷窺或者監視大(dà)家。不過,現在這種方式不是很隐蔽,容易被發現,所以在Autoexec.bat和Config.sys中(zhōng)加載木馬程序的并不多見,但也不能因此而掉以輕心哦。

3、潛伏在Win.ini中(zhōng)

木馬要想達到控制或者監視計算機的目的,必須要運行,然而沒有人會傻到自己在自己的計算機中(zhōng)運行這個該死的木馬。當然,木馬也早有心理準備,知(zhī)道人類是高智商(shāng)的動物(wù),不會幫助它工(gōng)作的,因此它必須找一(yī)個既安全又(yòu)能在系統啓動時自動運行的地方,于是潛伏在Win.ini中(zhōng)是木馬感覺比較惬意的地方。大(dà)家不妨打開(kāi)Win.ini來看看,在它的[windows]字段中(zhōng)有啓動命令“load=”和“run=”,在一(yī)般情況下(xià)“=”後面是空白(bái)的,如果有後跟程序,比方說是這個樣子:run=c:windowsfile.exe load=c:windowsfile.exe

這時你就要小(xiǎo)心了,這個file.exe很可能是木馬。

4、僞裝在普通文件中(zhōng)

這個方法出現的比較晚,不過現在很流行,對于不熟練的windows操作者,很容易上當。具體(tǐ)方法是把可執行文件僞裝成圖片或文本—-在程序中(zhōng)把圖标改成Windows的默認圖片圖标, 再把文件名改爲*.jpg.exe, 由于Win98默認設置是“不顯示已知(zhī)的文件後綴名”,文件将會顯示爲*.jpg, 不注意的人一(yī)點這個圖标就中(zhōng)木馬了(如果你在程序中(zhōng)嵌一(yī)張圖片就更完美了)。

5、内置到注冊表中(zhōng)

上面的方法讓木馬着實舒服了一(yī)陣,既沒有人能找到它,又(yòu)能自動運行,真是快哉!然而好景不長,人類很快就把它的馬腳揪了出來,并對它進行了嚴厲的懲罰!但是它還心有不甘,總結了失敗教訓後,認爲上面的藏身之處很容易找,現在必須躲在不容易被人發現的地方,于是它想到了注冊表!

的确注冊表由于比較複雜(zá),木馬常常喜歡藏在這裏快活,趕快檢查一(yī)下(xià),有什麽程序在其下(xià),睜大(dà)眼睛仔細看了,别放(fàng)過木馬哦:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下(xià)所有以“run”開(kāi)頭的鍵值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下(xià)所有以“run”開(kāi)頭的鍵值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下(xià)所有以“run”開(kāi)頭的鍵值。

6、在System.ini中(zhōng)藏身

木馬真是無處不在呀!什麽地方有空子,它就往哪裏鑽!這不,Windows安裝目錄下(xià)的System.ini也是木馬喜歡隐蔽的地方。還是小(xiǎo)心點,打開(kāi)這個文件看看,它與正常文件有什麽不同,在該文件的[boot]字段中(zhōng),是不是有這樣的内容,那就是shell=Explorer.exe file.exe,如果确實有這樣的内容,那你就不幸了,因爲這裏的file.exe就是木馬服務端程序!另外(wài),在System.ini中(zhōng)的[386Enh]字段,要注意檢查在此段内的“driver=路徑/程序名”,這裏也有可能被木馬所利用。

再有,在System.ini中(zhōng)的[mic]、[drivers]、[drivers32]這三個字段,這些段也是起到加載驅動程序的作用,但也是增添木馬程序的好場所,現在你該知(zhī)道也要注意這裏喽。

7、隐形于啓動組中(zhōng)

有時木馬并不在乎自己的行蹤,它更注意的是能否自動加載到系統中(zhōng),因爲一(yī)旦木馬加載到系統中(zhōng),任你用什麽方法你都無法将它趕跑,因此按照這個邏輯,啓動組也是木馬可以藏身的好地方,因爲這裏的确是自動加載運行的好場所。

動組對應的文件夾爲:C:windowsstart menuprogramsstartup,

在注冊表中(zhōng)的位置:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer

ShellFolders Startup=“C:windowsstart menuprogramsstartup”。要注意經常檢查啓動組哦!

8、隐蔽在Winstart.bat中(zhōng)

按照上面的邏輯理論,凡是利于木馬能自動加載的地方,木馬都喜歡呆。這不,Winstart.bat也是一(yī)個能自動被Windows加載運行的文件,它多數情況下(xià)爲應用程序及Windows自動生(shēng)成,在執行了Win.com并加載了多數驅動程序之後開(kāi)始執行(這一(yī)點可通過啓動時按F8鍵再選擇逐步跟蹤啓動過程的啓動方式可得知(zhī))。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中(zhōng)那樣被加載運行,危險由此而來。

9、捆綁在啓動文件中(zhōng)

即應用程序的啓動配置文件,控制端利用這些文件能啓動程序的特點,将制作好的帶有木馬啓動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啓動木馬的目的了。

10、設置在超級連接中(zhōng)

木馬的主人在網頁上放(fàng)置惡意代碼,引誘用戶點擊,用戶點擊的結果不言而喻:開(kāi)門揖盜!奉勸不要随便點擊網頁上的鏈接,除非你了解它,信任它,爲它死了也願意等等。

[責任編輯:楊勇]