1、將木馬包裝為圖像文件
首先,黑客最常使用騙別人執(zhí)行木馬的方法�,就是將特洛伊木馬說成為圖像文件,比如說是照片等,應(yīng)該說這是一個最不合邏輯的方法��,但卻是最多人中招的方法����,有效而又實用����。
只要入侵者扮成美眉及更改服務(wù)器程序的文件名(例如sam.exe)為"類似"圖像文件的名稱,再假裝傳送照片給受害者�,受害者就會立刻執(zhí)行它。為甚么說這是一個不合邏輯的方法呢����?圖像文件的擴展名根本就不可能是exe�����,而木馬程序的擴展名基本上又必定是exe����,明眼人一看就會知道有問題�,多數(shù)人在接收時一看見是exe文件����,便不會接收了��,那有什么方法呢��?其實方法很簡單�����,他只要把文件名改變����,例如把"sam.exe"更改為"sam.jpg",那么在傳送時����,對方只會看見sam.jpg了���,而到達對方電腦時,因為windows默認值是不顯示擴展名的�����,所以很多人都不會注意到擴展名這個問題�,而恰好你的計算機又是設(shè)定為隱藏擴展名的話,那么你看到的只是sam.jpg了��,受騙也就在所難免了����!
還有一個問題就是,木馬本身是沒有圖標的�����,而在電腦中它會顯示一個windows預(yù)設(shè)的圖標�����,別人一看便會知道了�����!但入侵者還是有辦法的�,這就是給文件換個"馬甲",即用IconForge等圖標文件修改文件圖標�����,這樣木馬就被包裝成jpg或其他圖片格式的木馬了���,很多人會不經(jīng)意間執(zhí)行了它���。
2、以Z-file偽裝加密程序
Z-file偽裝加密軟件經(jīng)過將文件壓縮加密之后��,再以bmp圖像文件格式顯示出來(擴展名是bmp�����,執(zhí)行后是一幅普通的圖像)���。當初設(shè)計這個軟件的本意只是用來加密數(shù)據(jù)�����,用以就算計算機被入侵或被非法使使用時�����,也不容易泄漏你的機密數(shù)據(jù)所在��。不過如果到了黑客手中���,卻可以變成一個入侵他人的幫兇���。使用者會將木馬程序和小游戲合并,再用Z-file加密及將此"混合體"發(fā)給受害者��,由于看上去是圖像文件���,受害者往往都不以為然�,打開后又只是一般的圖片��,最可怕的地方還在于就連殺毒軟件也檢測不出它內(nèi)藏特洛伊木馬和病毒���。當打消了受害者警惕性后�����,再讓他用WinZip解壓縮及執(zhí)行"偽裝體(比方說還有一份小禮物要送給他)����,這樣就可以成功地安裝了木馬程序�。如果入侵者有機會能使用受害者的電腦(比如上門維修電腦),只要事先已經(jīng)發(fā)出了"混合體���,則可以直接用Winzip對其進行解壓及安裝���。由于上門維修是赤著手使用其電腦,受害者根本不會懷疑有什么植入他的計算機中����,而且時間并不長,30秒時間已經(jīng)足夠�����。就算是"明晃晃"地在受害者面前操作��,他也不見得會看出這一雙黑手正在干什么�。特別值得一提的是,由于"混合體"可以躲過反病毒程序的檢測�,如果其中內(nèi)含的是一觸即發(fā)的病毒,那么一經(jīng)結(jié)開壓縮,后果將是不堪設(shè)想��。
3���、合并程序欺騙
通常有經(jīng)驗的用戶����,是不會將圖像文件和可執(zhí)行文件混淆的�,所以很多入侵者一不做二不休,干脆將木馬程序說成是應(yīng)用程序:反正都是以exe作為擴展名的��。然后再變著花樣欺騙受害者����,例如說成是新出爐的游戲,無所不能的黑客程序等等��,目地是讓受害者立刻執(zhí)行它�。而木馬程序執(zhí)行后一般是沒有任何反應(yīng)的,于是在悄無聲息中�����,很多受害者便以為是傳送時文件損壞了而不再理會它�。
如果有更小心的用戶�����,上面的方法有可能會使他們的產(chǎn)生壞疑��,所以就衍生了一些合并程序���。合并程序是可以將兩個或以上的可執(zhí)行文件(exe文件)結(jié)合為一個文件��,以后一旦執(zhí)行這個合并文件����,兩個可執(zhí)行文件就會同時執(zhí)行。如果入侵者將一個正常的可執(zhí)行文件(一些小游戲如wrap.exe)和一個木馬程序合并����,由于執(zhí)行合并文件時wrap.exe會正常執(zhí)行,受害者在不知情中����,背地里木馬程序也同時執(zhí)行了。而這其中最常用到的軟件就是joiner���,由于它具有更大的欺騙性����,使得安裝特洛伊木馬的一舉一動了無痕跡,是一件相當危險的黑客工具�。
以往有不少可以把兩個程序合并的軟件為黑客所使用,但其中大多都已被各大防毒軟件列作病毒了���,而且它們有兩個突出的問題存在���,這問題就是:合并后的文件體積過大,只能合并兩個執(zhí)行文件����。
正因為如此,黑客們紛紛棄之轉(zhuǎn)而使用一個更簡單而功能更強的軟件����,那就是Joiner,這個軟件可以把圖像文件��、音頻文件與可執(zhí)行文件合并�����,還能減小合并后文件體積���,而且可以待使用者執(zhí)行后立即收到信息�����,告訴你對方已中招及對方的IP�����。大家應(yīng)該提高警惕����。
4��、偽裝成應(yīng)用程序擴展組件
這一類屬于最難識別的特洛伊木馬����。黑客們通常將木馬程序?qū)懗蔀槿魏晤愋偷奈募?例如dll、ocx等)然后掛在一個十分出名的軟件中���,讓人不去懷疑安裝文件的安全性���,更不會有人檢查它的文件多是否多了。而當受害者打開軟件時�,這個有問題的文件即會同時執(zhí)行���。這種方式相比起用合并程序有一個更大的好處,那就是不用更改被入侵者的登錄文件���,以后每當其打開軟件時木馬程序都會同步運行����。
當您遇到以上四種情況時請小心為妙�,說不定無意之中您已經(jīng)中招了!����!
原文地址 http://news.duba.net/contents/2010-01/25/9450.html
關(guān)鍵詞標簽:木馬
