木马常见植入方法大曝光
(2005-06-27 10:20:30)
伴随着Windows操作系统核心技术的日益成熟,“木马植入技术”也得到发展,使得潜入到系统的木马越来越隐蔽
,对网络安全的危害性将越来越大。所以,全面了解木马植入的方法和技术,有助于采取有力的应对措施,同时也有助于促进信息对抗技术的发展。本文就来剖析几种Windows下基于远程线程插入的木马植入技术。
1利用E-MAIL
控制端将木马程序以附件的形式夹在电子邮件中发送出去,收信人只要打开附件,系统就会感染木马。
2软件下载
一般的木马执行文件非常小,大小也就是几K到几十K。如果把木马捆绑到其他正常文件上,是很难被发现的。一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
3利用共享和Autorun文件
学校或单位的局域网里为了学习和工作方便,会将许多硬盘或文件夹共享出来,有时甚至不加密码。更有甚者,竟将共享设为可写。
大家知道,将光盘插入光驱会自动运行,这是因为在光盘根目录下有个Autorun.inf文件,这个文件可以决定是否自动运行程序。同样,如果硬盘的根目录下存在该文件,硬盘也就具有了AutoRun功能,即自动运行Autorun.inf文件中的内容。Autorun.inf文件一般是如下格式(“//”后面是加的注释,使用时去掉):
[AutoRun]//这是AutoRun部分开始,必须输入
Icon=E:\sex.ico//用sexual.ico文件给E盘设置一个个性化的盘符图标
Open=E:\sexual.exe//指定要运行程序的路径和名称,在此为E盘下的sexual.exe。如果sexual.exe文件是木马或恶意程序,那我们的电脑就危险了。
将sexual.ico和sexual.exe文件以及Autorun.inf放在E盘根目录,然后进入“我的电脑”,你会发现E盘的磁盘图标变了,双击进入E盘,还会自动执行E盘下的sexual.exe文件!
对于给你下木马的人来说,一般不会改变硬盘的盘符图标,但他会修改Autorun.inf文件的属性,将该文件隐藏起来。然后按F5键刷新,这样,当有人双击这个盘符,程序就运行了。
这一招对于经常双击盘符进入“我的电脑”的人最有效。识别这种伪装植入方式的方法是,双击盘符后木马程序会运行,并且我们不能进入盘符。
4把木马文件转换为图片格式
这是一种相对比较新颖的方式,把EXE转化成为BMP图片来欺骗大家。
原理:BMP文件的文件头有54个字节,包括长宽、位数、文件大小、数据区长度。我们只要在EXE的文件头上加上这54字节,IE就会把它当成BMP文件下载下来。改过的图片是花的,会被人看出破绽,用<imgscr=″xxx.bmp
″higth=″0″width=″0″>,把这样的标签加到网页里,就看不见图片了,也就无法发现“图片”不对劲。IE把图片下载到临时目录,我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件,并在注册表添加启动项,利用那个VBS找到BMP,调用debug来还原EXE,最后,运行程序完成木马植入。下一次启动时木马就运行了,无声无息非常隐蔽。
5伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马,也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤。对于正常的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程,虽然所有的操作都在DLL中完成会更加隐蔽,但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程,继续进入休眠状况。
举个具体的例子,黑客们将写好的文件(例如DLL、OCX等)挂在一个十分出名的软件中,例如QQ中。当受害者打开QQ时,这个有问题的文件即会同时执行。此种方式相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开QQ时木马程序就会同步运行,相较一般特洛伊木马可说是“踏雪无痕”。目前,有些木马就是采用的这种内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在WindowsNT/2000下,都达到了良好的隐藏效果。这样的木马对一般电脑用户来说简直是一个恶梦。防范它的方法就是小心小心再小心!
6利用WinRar制作成自释放文件
这是最新的伪装方法,把木马服务端程序和WinRar捆绑在一起,将其制作成自释放文件,这样做了以后是非常难以检查的,即使是用最新的杀毒软件也无法发现!识别的方法是:对着经过WinRar捆绑的木马文件点击鼠标右键,查看“属性”,在弹出的“属性”对话框中,会发现多出两个标签“档案文件”和“注释”,点选“注释”标签,你就会发现木马文件了。
7在Word文档中加入木马文件
这是最近才流行起来的一种方法,比较奇特。这种方法很隐蔽,在Word文档末尾加入木马文件,只要别人点击这个所谓的Word文件就会中木马。这种方法主要是通过把一个EXE格式的木马文件接在一个DOC文件的末尾,使别人察觉不到木马的存在,因此使之上当受骗。
大家知道,Word的宏是使用VBA来编写的,
而这种植入木马的方法就是利用VBA写一段代码,新建一个DOC文件,打开VISUALBASIC编辑器,新建一个模块,输入VB函数的声明,然后回到“ThisDocument”代码视图,选择DocumentOpen的事件,同样输入代码。注意其中的文件大小(做好后的DOC大小)就可以了。
接着把DOC和EXE合并:copy/banyname.doc+anyname.exeanyname.doc。打开这个DOC文档,隐藏在其中的木马就会自动运行。不过还需要满足一个条件HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security中的Level值必须是1或者0。
然后编写一个特殊的宏(太长了这里就不介绍了),接下来把EXE文件接到DOC文件后面。方法很简单,把你要接的EXE放到和这个DOC文件同一个目录下,运行如下命令:copy/bxxxx.doc+xxxxx.exenewdoc.doc就可以了。当你打开这个newdoc.doc的时候,宏就会把后面的EXE文件读出来并保存在C:\AUTOEXEC.EXE中,然后运行,是不是很恐怖啊!不过这需要你的WORD2000安全度为最低的时候才能实现,请大家看注册表中如下键:HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security中的Level值,当Level值为3(代表安全度为高)的时候,WORD不会运行任何宏;为2时(安全度中),WORD会询问你是否运行宏,为1(安全度低)的时候WORD就会自动运行所有的宏!聪明的你一定想到如果这个值为0的时候会怎么样?哈,如果设为0的话,WORD就会显示安全度为高,但却能自动运行任何的宏!是不是很恐怖啊?
对于这种欺骗方式,最重要的是小心防范,陌生人的附件千万不要收看!
8把木马和其他文件捆绑在一起
这是最为常见的手段,将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。被捆绑的文件一般是可执行文件。例如,把木马服务端和某个游戏捆绑成一个文件在QQ或邮件发给别人,运行后他会看到游戏程序正常打开,却不知木马程序已经悄悄在后台运行了,这样做对一般人的迷惑性很大,而且即使他以后重装系统了,如果他的系统中还保存了那个“游戏”的话,就有可能再次中招。
用来执行捆绑任务的工具软件非常多,如exe文件捆绑机,ExeBind等,这类程序的原理:该类程序可以将指定的黑客程序捆绑到任何一个广为传播的热门软件上,使宿主程序执行时,寄生程序(黑客程序)也在后台被执行。当您再次上网时,您已经在不知不觉中被控制住了。您说这个文件捆绑专家恐怖不?而且它支持多重捆绑。实际上是通过多次分割文件,多次从父进程中调用子进程来实现的。
利用上述方法投放的木马程序最终都是以独立的进程运行于目标主机中
,这些木马进程利用进程查看工具很容易被识别。这些方法有的将木马程序注册为一个系统服务进程,这样也只能避免在任务列表中出现。
9基于DLL和远程线程插入的木马植入技术
在Windows环境下,一种更为隐蔽的木马投放方案是结合DLL(动态链接库)和远程线程插入技术来实现木马植入。这种技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。
DLL文件的特点决定了这种实现形式的木马的可行性和隐蔽性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机中的级别未经授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。