計(jì)算機(jī)木馬病毒介紹

第五章計(jì)算機(jī)木馬病毒介紹木馬病毒基礎(chǔ)木馬病毒的定義3000多年前特洛伊王國(guó)及古希臘戰(zhàn)爭(zhēng)把戰(zhàn)場(chǎng)上巨大的木馬帶回自己的王國(guó)而帶來(lái)的淪陷在Internet網(wǎng)絡(luò)上下載的應(yīng)用程序或游戲中,包含了可以控制用戶的計(jì)算機(jī)系統(tǒng)的程序,它們讓被害的計(jì)算機(jī)對(duì)著未知的入侵敞開了大門,使得受害的系統(tǒng)和數(shù)據(jù)暴露在混亂的網(wǎng)絡(luò)世界里,木馬病毒的工作原理計(jì)算機(jī)木馬的定義:能潛伏在受害者計(jì)算機(jī)里,并且秘密開放一個(gè)甚至多個(gè)數(shù)據(jù)傳輸通道的遠(yuǎn)程控制程序客戶端(控制端)和服務(wù)器端木馬植入計(jì)算機(jī)過(guò)程入侵者必須通過(guò)各種手段把服務(wù)器端程序傳送給受害者運(yùn)行,才能達(dá)到木馬傳播目的當(dāng)服務(wù)器端被受害者計(jì)算機(jī)執(zhí)行時(shí),便將自己復(fù)制到系統(tǒng)目錄,并把運(yùn)行代碼加入系統(tǒng)啟動(dòng)時(shí)會(huì)自動(dòng)調(diào)用的區(qū)域里,借以達(dá)到跟隨系統(tǒng)啟動(dòng)而運(yùn)行,這一區(qū)域通常稱為啟動(dòng)項(xiàng).當(dāng)木馬完成這部分操作后,便進(jìn)入潛伏期__偷偷開放系統(tǒng)端口,等待入侵者連接.木馬入侵的主要途徑郵件附件、下載軟件，以一定的提示故意誤導(dǎo)被攻擊者打開執(zhí)行文件，文件很小幾K到幾十K木馬可以通過(guò)ScriptActiveXAsp.CGI交互腳本的方式植入（漏洞）客戶端與服務(wù)器成功運(yùn)行后，在通信協(xié)議上大多采用TCP/IP少數(shù)使用UDP協(xié)議進(jìn)行通訊當(dāng)服務(wù)端在被感染機(jī)器上運(yùn)行以后，它一方面盡量把自己隱藏在計(jì)算機(jī)的某個(gè)角落里面，以防被用戶發(fā)現(xiàn)，同時(shí)監(jiān)聽某個(gè)特定的端口，等待客戶與其取得連接，另外為了下次重啟計(jì)算機(jī)時(shí)仍然能正常工作，木馬程序一般會(huì)通過(guò)修改注冊(cè)表或者其他方法讓自己成為自啟動(dòng)程序特洛伊木馬具有的特性包含在正常程序中，當(dāng)用戶執(zhí)行正常程序時(shí)，啟動(dòng)自身，在用戶難以察覺的情況下，完成一些危害用戶的操作，具有隱蔽性。木馬執(zhí)行遠(yuǎn)程序控制及正常遠(yuǎn)程控制程序的差別 不產(chǎn)生圖標(biāo)木馬在你系統(tǒng)啟動(dòng)時(shí)會(huì)自動(dòng)運(yùn)行，但它不會(huì)在“任務(wù)欄”中產(chǎn)生一個(gè)圖際木馬程序自動(dòng)在任務(wù)管理器中隱藏，并以“系統(tǒng)服務(wù)”的方式欺騙操作系統(tǒng)具有自動(dòng)運(yùn)行性在系統(tǒng)啟動(dòng)時(shí)即跟隨著啟動(dòng)，所以必須潛入在你的啟動(dòng)配置文件中如win.ini

system.ini

winstart.bat及啟動(dòng)組等文件中包含具有未公開并且可能產(chǎn)生危險(xiǎn)后果的功能的程序具備自動(dòng)恢復(fù)功能現(xiàn)在很多木馬程序中的功能模塊不再由單一的文件組成，而是具有多重備份，可以相互恢復(fù)能自動(dòng)打開特別的端口功能的特殊性除普通的文件操作以外，有此木馬具有搜索cache中的口令、設(shè)置口令、掃描目標(biāo)機(jī)器的IP地址、進(jìn)行鍵盤記錄、遠(yuǎn)程注冊(cè)表的操作以及鎖定鼠標(biāo)功能木馬病毒的判斷當(dāng)你瀏覽一個(gè)網(wǎng)絡(luò)，彈出一些廣告窗口是很正常的事情，可是如果你根本沒有打開瀏覽器，而瀏覽器突然自己打開，并且進(jìn)入某個(gè)網(wǎng)站系統(tǒng)配置老是自動(dòng)被更改，比如屏保顯示的文字，時(shí)間和日期，聲音大小，還有CDROM自動(dòng)運(yùn)行配置硬盤老沒緣由的讀盤，軟驅(qū)燈經(jīng)常自己亮起，網(wǎng)絡(luò)連接及鼠標(biāo)屏幕出現(xiàn)異?，F(xiàn)象Netstat—a通過(guò)端口掃描方法也可能發(fā)現(xiàn)一些弱智的木馬，軟件來(lái)檢查系統(tǒng)進(jìn)程來(lái)發(fā)現(xiàn)木馬用基本命令檢查電腦是否中了木馬檢測(cè)網(wǎng)絡(luò)連接Netstat–an禁用不明服務(wù)Netstartnetstopserver輕松檢查賬戶Netusernetuset+用戶名木馬的啟動(dòng)方式木馬的啟動(dòng)方式的概述:自啟動(dòng)功能是優(yōu)秀木馬保證木馬不會(huì)因?yàn)槟愕囊淮侮P(guān)機(jī)操作而徹底失去作用木馬編程人員不停地研究和探索新的自啟動(dòng)技術(shù),并時(shí)常有新的發(fā)現(xiàn)如:木馬加入到用戶經(jīng)常執(zhí)行的程序(explorer.exe)中,用戶執(zhí)行該程序時(shí),則木馬自動(dòng)發(fā)生作用,如:windows系統(tǒng)文件和注冊(cè)表木馬的啟動(dòng)方式1在win.ini中啟動(dòng)(load=run=原為空木馬可改寫如load=c:\windows\file.exe)2在system.ini中啟動(dòng)(boot字段shell=Explorer.exe386Enh字段driver=路徑\程序名micdriversdrivers32)3利用注冊(cè)表加載運(yùn)行(1、自己不熟悉自動(dòng)啟動(dòng)文件擴(kuò)展名為EXE2、偽裝蒙混過(guò)關(guān)3、找到木馬程序的文件名，再在整個(gè)注冊(cè)表中搜索即可)4在Autoexec.bat和Config.sys中加載運(yùn)行（控制端用戶與服務(wù)端建立連接后，將已添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行，不多見，）5在winstart.bat中啟動(dòng)（自動(dòng)被windows加載運(yùn)行的文件。多數(shù)情況下為應(yīng)用程序及windows自動(dòng)生成）6啟動(dòng)組（啟動(dòng)組對(duì)應(yīng)的文件夾c:\windows\startmenu\programs\startup）木馬的啟動(dòng)方式7*.INI（即應(yīng)用程序的啟動(dòng)配置文件，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動(dòng)木馬的目的。只啟動(dòng)一次的方式：在winint.ini中用于安裝較多）8修改文件關(guān)聯(lián) 修改文件關(guān)聯(lián)是木馬常用的手段，比方說(shuō)正常情況下TXT文件的打開方式為Notepad.exe文件，但一旦中了文件關(guān)聯(lián)木馬，則txt文件打開方式就會(huì)被修改為用木馬程序打開（冰河木馬）（htm\exe\zip\.com） 對(duì)付這類木馬，只能經(jīng)常檢查HKEY_C\shell\open\command主鍵，查看其鍵值是否正常9捆綁文件 控制端和服務(wù)端已通過(guò)木馬建立連接 控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋源文件，這樣即使木馬被刪除，只要運(yùn)行捆綁木馬的應(yīng)用程序，木馬又會(huì)安裝上去木馬的啟動(dòng)方式10反彈端口型木馬的主動(dòng)連接服務(wù)端主動(dòng)與客戶端建立連接，監(jiān)聽端口一般開80，在沒有合適工具，豐富的經(jīng)驗(yàn)很難防范，如：網(wǎng)絡(luò)神偷，要在注冊(cè)表中建立鍵值11另一種鮮為人知的啟動(dòng)方式，是在開始—運(yùn)行—執(zhí)行Gpedit.msc，設(shè)置用戶添加的自動(dòng)啟動(dòng)的程序，如果剛才添加的是木馬程序，那么一個(gè)“隱形”木馬就這樣誕生了。因?yàn)橛眠@種方式添加的自啟動(dòng)程序在系統(tǒng)的“系統(tǒng)配置實(shí)用程序”找不到，在注冊(cè)表中也是找不到12還有一種不需要通過(guò)啟動(dòng)項(xiàng)也能達(dá)到跟隨系統(tǒng)啟動(dòng)的卑劣手法，那就是“系統(tǒng)路徑遍歷優(yōu)先級(jí)欺騙” 在系統(tǒng)搜尋一個(gè)不帶路徑信息的文件時(shí)遵循一種“從外到里”的規(guī)則，它會(huì)由系統(tǒng)所在盤符的根目錄開始向系統(tǒng)目錄深處遞進(jìn)查找，而不是精確定位。 這種手法常被用于“internat.exe”因?yàn)闊o(wú)論哪個(gè)windows版本的啟動(dòng)項(xiàng)里，它都是沒有設(shè)置路徑的

木馬的種類破壞型惟一的功能就是破壞并且自動(dòng)刪除文件,(DLL、INI、EXE)密碼發(fā)送型找到隱藏密碼并把它們發(fā)送到指定的郵箱。密碼存在電腦中密碼記憶功能黑客軟件長(zhǎng)期潛伏記錄操作者鍵盤的操作，從中尋找有用的密碼遠(yuǎn)程訪問(wèn)型最廣泛的是特洛伊馬，只需有人運(yùn)行了服務(wù)端程序，如果客戶端知道服務(wù)端的IP地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制，實(shí)現(xiàn)觀察“受害者”正在干什么，程序中用的UDP協(xié)議鍵盤記錄木馬記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼隨著WINDOWS的啟動(dòng)而啟動(dòng)，有在線和離線記錄選項(xiàng)，對(duì)于這種類型的木馬，郵件發(fā)送功能也是必不可少的木馬的種類DoS攻擊木馬入侵一臺(tái)計(jì)算機(jī)種上DoS攻擊木馬，此機(jī)成為日后DoS攻擊的最得力助手控制的肉雞數(shù)量越多，你發(fā)動(dòng)DoS攻擊取得的成功率就越大此類木馬不體現(xiàn)在被感染的計(jì)算機(jī)，而是體現(xiàn)在攻擊者可以利用它來(lái)攻擊一臺(tái)又一臺(tái)計(jì)算機(jī)，給網(wǎng)絡(luò)造成傷害和帶來(lái)?yè)p失類似DoS的木馬叫做郵件炸彈木馬，一旦機(jī)器被感染，木馬就會(huì)隨機(jī)生成各種各樣主題的信件，對(duì)特定的郵箱不停地發(fā)送郵件，一直到對(duì)方癱瘓，不能接受郵件為止木馬的種類代理木馬對(duì)被控制肉雞種上代理木馬，讓其變成攻擊者發(fā)動(dòng)攻擊的跳板就是代理木馬最重要的任務(wù)通過(guò)代理木馬，攻擊者可以在匿者的情況下用Telnet,ICQ,IRC等程序，從而隱蔽自己的蹤跡。FTP木馬惟一的功能就是打開21端口，等待用戶連接，新的FTP木馬還加上了密碼功能，只要攻擊者本人才知道正確的密碼，從而進(jìn)入對(duì)方計(jì)算機(jī)程序殺手木馬程序殺手木馬的功能就產(chǎn)關(guān)閉對(duì)方機(jī)器上運(yùn)行的這類程序，讓其他的木馬更好地發(fā)揮作用反彈端口型木馬在分析防火墻特性后發(fā)現(xiàn)，進(jìn)嚴(yán)出松規(guī)則此類木馬的服務(wù)端（被控制端）使用主動(dòng)端口，客戶端（控制端）使用被動(dòng)端口；為了隱蔽起見，控制端的被動(dòng)端口一般開在80，即使用戶使用掃描軟件檢查自己的端口，發(fā)現(xiàn)類似TCPUserIP:1026ControllerIP:80ESTABLISHED的情況，稍微疏忽一點(diǎn)，你就會(huì)以為是自己在瀏覽網(wǎng)頁(yè)木馬采用的偽裝方法修改圖標(biāo)故意偽裝成XT。HTML等你可能認(rèn)為對(duì)系統(tǒng)沒有危害的文件圖標(biāo)，誘惑你打開以JPG或其他圖片格式的木馬，不經(jīng)意間執(zhí)行了捆綁文件捆綁在安裝程序上，安裝程序運(yùn)行時(shí)，木馬在用戶毫無(wú)察覺的情況下，偷偷地進(jìn)入了系統(tǒng)，一般捆綁在可執(zhí)行文件（EXE，COM）出錯(cuò)顯示在執(zhí)行木馬時(shí)提供一個(gè)出錯(cuò)顯示的功能，在服務(wù)端被用戶打開的情況下，彈出一個(gè)錯(cuò)誤提示框自我銷毀打開含有木馬的文件后，木馬會(huì)將自己拷貝到WINDWOS的系統(tǒng)文件夾下源木馬文件和系統(tǒng)文件夾中的木馬文件大小是一樣的，用戶在近來(lái)收到的信件和下載的軟件中找到源木馬文件，根據(jù)大小去系統(tǒng)文件夾中找相同大小的文件，判斷下哪個(gè)是木馬就行了，而此種木馬我自我銷毀功能。在沒查殺木馬的工具幫助下，就很難刪除木馬了木馬采用的偽裝方法木馬更名為了偽裝自己木馬服務(wù)端程序命名跟系統(tǒng)文件名差不多的名字，對(duì)系統(tǒng)文件不夠了解，不敢刪除（WINDOW.exedl）冒充為圖像文件將特洛伊木馬說(shuō)成為圖像文件，比如說(shuō)是照片偽裝成應(yīng)用程序擴(kuò)展組件此類屬于最難識(shí)別的特洛伊木馬，黑客們將木馬程序?qū)懗扇魏晤愋偷奈募ɡ鏳ll

ocx）等然后掛在一個(gè)十分出名的軟件中，在打開如OICQ時(shí)，有問(wèn)題的文件即會(huì)同時(shí)執(zhí)行。此類入侵大多也是特洛伊木馬編寫者，只要稍加改動(dòng)，就會(huì)派生出一支新木馬來(lái)，所以即使殺毒軟件也拿它沒有絲毫辦法被感染后的緊急措施如果不幸你的計(jì)算機(jī)已經(jīng)被木馬光臨過(guò)了，你的系統(tǒng)文件被黑客改得一塌糊涂，硬盤上稀里糊涂得多出來(lái)一大堆亂七八糟的文件，很多重要的數(shù)據(jù)也可能被黑客竊取。所有的賬號(hào)和密碼都要馬上更改，刪除所有你硬盤上原來(lái)沒有的東西檢查一次硬盤上是否有病毒存在木馬常見的入侵方式1、修改批處理Autoexec.bat（自動(dòng)批處理，在引導(dǎo)系統(tǒng)時(shí)執(zhí)行）Winstart.bat（在啟動(dòng)GUI圖形界面環(huán)境時(shí)執(zhí)行）Dosstart.bat（在進(jìn)入MS-DOS方式時(shí)執(zhí)行）如：在編輯c:\\windows\\dosstart.bat,加入:startnotepad,當(dāng)你進(jìn)入MS-DOS方式時(shí)，就可以看到記事本被啟動(dòng)2、修改系統(tǒng)配置System.ini

win.ini達(dá)到自動(dòng)運(yùn)行的目的如：在win.ini文件中：[windows]Load=程序名Run=程序名在system.ini文件中[boot]Shell=explorer.exe木馬常見的入侵方式3、借助自動(dòng)運(yùn)行功能利用硬盤支持自動(dòng)運(yùn)行的方式編寫autorun.inf此程序運(yùn)行后還會(huì)替你打開硬盤，讓你難以查覺4、通過(guò)注冊(cè)表中的Run來(lái)啟動(dòng)5、通過(guò)文件關(guān)聯(lián)啟動(dòng)Exefile

txtfile

regfile

unknow關(guān)聯(lián)為了防止用戶恢復(fù)注冊(cè)表，用此法的黑客通常還連帶謀殺scanreg.exe\sfc.exe\extrac32.exe\regedit.exe木馬常見的入侵方式通過(guò)APIHOOK啟動(dòng)通過(guò)替換系統(tǒng)DLL文件，讓系統(tǒng)啟動(dòng)指定的程序（中獎(jiǎng)后重裝系統(tǒng)）通過(guò)VXD啟動(dòng)通過(guò)把木馬寫成VXD形