当前位置:文档之家 › 8木马伪装植入的方法

8木马伪装植入的方法

  • 格式:doc
  • 大小:153.00 KB
  • 文档页数:5

下载文档原格式

  / 5
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

木马伪装植入的方法

如果我们要想把自己的木马植入到别人的计算机上,首先就要伪装好自己。一般来讲,木马主要有两种隐藏手段:

①把自己伪装成一般的软件

很多用户可能都遇到过这样的情况,在网站上得到一个自称是很好玩或是很有用的小程序,拿下来执行,但系统报告了内部错误,程序退出了。一般人都会认为是程序没有开发好,不会疑心到运行了木马程序这上面。等到运行自己的QQ等程序时,被告知密码不对,自己熟得不能再熟的密码怎么也进不去,这时才会想起检查自己的机器是否被人安装了木马这回事情。

提示:

这种程序伪装成正常程序,实质是个木马伪装成的,在木马代码的前段会完成自我安装与隐藏的过程,最后显示一个错误信息,骗过用户。

②把自己绑定在正常的程序上面

对于那些老到的黑客来说,他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件,然后用户在安装该正版程序时,就神不知鬼不觉地被种上木马了。

伪装之后,木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了,或者是放在网站上供人下载。黑客还会为它们加上一些动人的话语来诱惑别人,像“最新火辣辣小电影!”、“CuteFTP5.0完全解密版!!!”等。

一点不骗人,在安装了这个CuteFTP之后,你的机器就被“完全解密”了,那些喜欢免费盗版的朋友们也要小心了!

下面介绍几种常见的伪装植入木马的方法:

修改木马图标

将木马服务端程序更改图标,如设为图片图标,并将其扩展名设置为***.jpg.exe格式,直接发给对方,由于Windows的默认设置是隐藏已知文件的扩展名,所以对方收到后就会轻易相信这就是一幅图片。对方运行后,结果毫无反应(运行木马后的典型表现),对方说:“怎么打不开呀!”,回答:“哎呀,不会程序是坏了吧?”,或者说:“对不起,我发错了!”,然后把正确的东西(正常游戏、图片等)发给对方,他收到后只顾高兴就不想刚才为什么会出现那种情况了。

虽然有些木马制作工具中带有修改图标的功能,但是黑客还常常使用其他辅助工具来修改图标。如IconChanger,就是一个更换文件图标工具,其运行界面如图1所示。

图1:更换图标工具

在“Search icons in”里选择不同的盘符,程序就会自动搜索该盘符下的所有程序图标列在下部的列表中。然后选择“File”|“Choose file to change its icon”命令,在打开的对话框中选择待更换图标的木马程序,选出的程序会出现在界面左上部。接下来在程序的图标列表中选择一个中意的图标,拉到右下侧列表中,最后选中一个最满意的,点击工具栏的“Set”按钮,左上部的程序的图标就会变成黑客想要设置的图标,如图2所示。

图2:更改图标后的效果

捆绑欺骗

把木马服务端和某个游戏或工具捆绑成一个文件在QQ或邮件中发给别人,别人运行后它们往往躲藏在Windows的系统目录下,图标伪装成一个文本文件或者网页文件,通过端口与外界进行联系。然后把自己和一些EXE文件捆绑在一起,或者采用改变文件关联方式的方法来达到自启动的目的。而且,即使以后系统重装了,如果该程序还是保存着的话,还是有可能再次中招的。

捆绑欺骗大多采用捆绑软件如Deception Binder进行以下几种方式的捆绑:

将一款小游戏和木马服务端捆绑成一个文件;

把一个txt文件和木马服务端捆绑成一个文件;

把一个JPG图片和木马服务端捆绑成一个文件。

Deception Binder的程序运行界面如图3所示。

图3:Deception Binder的程序运行界面

Deception Binder程序一个外国的小巧的文件合并器,虽然小巧,功能却不错,可以设置捆绑的程序打开文件是否隐蔽运行,设置打开文件是否加入注册表启动项,设置打开文件时是否显示错误信息以迷惑对方。

最后将捆绑后的文件找一个相应的理由发送给对方,让对方在不知不觉中被种植木马。

文件夹惯性点击

把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹木马时,也会收不住鼠标点下去,这样木马就成功运行了。比方说著名的木马黑洞2001的服务端程序用的就是文件夹的图标,如果您以为它是文件夹而去点击那您就错了,它是个不折不扣的EXE文件!

当然,如果对方使用的IE 5.0及以下的版本,还可以利用Windows中的文件夹支持HTML 和JavaScript定义的一些“动作”原理,通过JavaScript,让文件夹自动执行程序,做成

一个真正“文件夹木马”,让对方不受骗都难。

危险下载点

攻破一些下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载,这样以后每增加一次下载次数,就等于多了一台中木马的计算机。或者把木马免杀处理后捆绑到其他软件上,然后“正大光明”地发布到各大软件下载网站,它们也不查毒,就算查也查不出一些新木马,或是进行过免杀处理的木马。

邮件冒名欺骗

该类木马植入的前提是,用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件,别人下载附件并运行的话就中木马了。如冒充单位的系统管理员,向各个客户端发送系统补丁或是其它安装程序(因为这些程序都是可执行文件)。

QQ冒名欺骗

该类木马植入的前提是,必须先获取一个不属于自己的QQ号。然后使用这个QQ号码给好友们发去木马程序,由于信任被盗号码的主人,好友们会毫不犹豫地运行木马程序,结果就中招了。

ZIP伪装

将一个木马和一个损坏的ZIP包(可自制)捆绑在一起,然后指定捆绑后的文件为ZIP 图标,这样一来,除非别人看了他的后缀,否则点下去将和一般损坏的ZIP没什么两样,根本不知道其实已经有木马在悄悄运行了。

ZIP伪装的常见做法如下:

首先创建一个文本文档,输入任意个字节(其实一个就行,最小),将它的后缀txt 直接改名为zip即可,然后把它和木马程序捆在一起,修改捆绑后的文件图标为zip图标就成了。

论坛上发链接

在可以上传附件的论坛上传捆绑好的木马(如将木马捆绑在图片上传),然后把链接发给想要攻击的目标肉机的主人,诱惑他点击那个链接。

网页木马法

在黑客自己的网页上捆绑木马,再在QQ上邀请想要攻击的目标网友去访问,轻松给他种上黑客配置的木马。

伪装成应用程序扩展组件

此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例

相关主题