1���、將木馬包裝為圖像文件
首先���,黑客最常使用騙別人執(zhí)行木馬的方法,就是將特洛伊木馬說(shuō)成為圖像文件��,比如說(shuō)是照片等����,應(yīng)該說(shuō)這是一個(gè)最不合邏輯的方法,但卻是最多人中招的方法���,有效而又實(shí)用。
只要入侵者扮成美眉及更改服務(wù)器程序的文件名(例如sam.exe)為"類(lèi)似"圖像文件的名稱(chēng)����,再假裝傳送照片給受害者,受害者就會(huì)立刻執(zhí)行它。為甚么說(shuō)這是一個(gè)不合邏輯的方法呢�?圖像文件的擴(kuò)展名根本就不可能是exe,而木馬程序的擴(kuò)展名基本上又必定是exe����,明眼人一看就會(huì)知道有問(wèn)題,多數(shù)人在接收時(shí)一看見(jiàn)是exe文件�,便不會(huì)接收了,那有什么方法呢�?其實(shí)方法很簡(jiǎn)單,他只要把文件名改變�,例如把"sam.exe"更改為"sam.jpg",那么在傳送時(shí)����,對(duì)方只會(huì)看見(jiàn)sam.jpg了,而到達(dá)對(duì)方電腦時(shí)�����,因?yàn)閣indows默認(rèn)值是不顯示擴(kuò)展名的�,所以很多人都不會(huì)注意到擴(kuò)展名這個(gè)問(wèn)題,而恰好你的計(jì)算機(jī)又是設(shè)定為隱藏?cái)U(kuò)展名的話�����,那么你看到的只是sam.jpg了,受騙也就在所難免了���!
還有一個(gè)問(wèn)題就是�,木馬本身是沒(méi)有圖標(biāo)的�,而在電腦中它會(huì)顯示一個(gè)windows預(yù)設(shè)的圖標(biāo),別人一看便會(huì)知道了��!但入侵者還是有辦法的����,這就是給文件換個(gè)"馬甲",即用IconForge等圖標(biāo)文件修改文件圖標(biāo)���,這樣木馬就被包裝成jpg或其他圖片格式的木馬了����,很多人會(huì)不經(jīng)意間執(zhí)行了它��。
2�����、以Z-file偽裝加密程序
Z-file偽裝加密軟件經(jīng)過(guò)將文件壓縮加密之后���,再以bmp圖像文件格式顯示出來(lái)(擴(kuò)展名是bmp��,執(zhí)行后是一幅普通的圖像)��。當(dāng)初設(shè)計(jì)這個(gè)軟件的本意只是用來(lái)加密數(shù)據(jù)����,用以就算計(jì)算機(jī)被入侵或被非法使使用時(shí)��,也不容易泄漏你的機(jī)密數(shù)據(jù)所在�。不過(guò)如果到了黑客手中,卻可以變成一個(gè)入侵他人的幫兇����。使用者會(huì)將木馬程序和小游戲合并,再用Z-file加密及將此"混合體"發(fā)給受害者�,由于看上去是圖像文件,受害者往往都不以為然��,打開(kāi)后又只是一般的圖片�,最可怕的地方還在于就連殺毒軟件也檢測(cè)不出它內(nèi)藏特洛伊木馬和病毒。當(dāng)打消了受害者警惕性后�,再讓他用WinZip解壓縮及執(zhí)行"偽裝體(比方說(shuō)還有一份小禮物要送給他),這樣就可以成功地安裝了木馬程序�。如果入侵者有機(jī)會(huì)能使用受害者的電腦(比如上門(mén)維修電腦)��,只要事先已經(jīng)發(fā)出了"混合體�,則可以直接用Winzip對(duì)其進(jìn)行解壓及安裝�����。由于上門(mén)維修是赤著手使用其電腦�,受害者根本不會(huì)懷疑有什么植入他的計(jì)算機(jī)中,而且時(shí)間并不長(zhǎng)���,30秒時(shí)間已經(jīng)足夠���。就算是"明晃晃"地在受害者面前操作,他也不見(jiàn)得會(huì)看出這一雙黑手正在干什么���。特別值得一提的是���,由于"混合體"可以躲過(guò)反病毒程序的檢測(cè),如果其中內(nèi)含的是一觸即發(fā)的病毒���,那么一經(jīng)結(jié)開(kāi)壓縮��,后果將是不堪設(shè)想�����。
3��、合并程序欺騙
通常有經(jīng)驗(yàn)的用戶(hù)�����,是不會(huì)將圖像文件和可執(zhí)行文件混淆的����,所以很多入侵者一不做二不休�,干脆將木馬程序說(shuō)成是應(yīng)用程序:反正都是以exe作為擴(kuò)展名的。然后再變著花樣欺騙受害者�,例如說(shuō)成是新出爐的游戲,無(wú)所不能的黑客程序等等�,目地是讓受害者立刻執(zhí)行它。而木馬程序執(zhí)行后一般是沒(méi)有任何反應(yīng)的����,于是在悄無(wú)聲息中,很多受害者便以為是傳送時(shí)文件損壞了而不再理會(huì)它���。
如果有更小心的用戶(hù)���,上面的方法有可能會(huì)使他們的產(chǎn)生壞疑����,所以就衍生了一些合并程序�。合并程序是可以將兩個(gè)或以上的可執(zhí)行文件(exe文件)結(jié)合為一個(gè)文件,以后一旦執(zhí)行這個(gè)合并文件�,兩個(gè)可執(zhí)行文件就會(huì)同時(shí)執(zhí)行。如果入侵者將一個(gè)正常的可執(zhí)行文件(一些小游戲如wrap.exe)和一個(gè)木馬程序合并�����,由于執(zhí)行合并文件時(shí)wrap.exe會(huì)正常執(zhí)行����,受害者在不知情中,背地里木馬程序也同時(shí)執(zhí)行了��。而這其中最常用到的軟件就是joiner��,由于它具有更大的欺騙性�����,使得安裝特洛伊木馬的一舉一動(dòng)了無(wú)痕跡,是一件相當(dāng)危險(xiǎn)的黑客工具�。
以往有不少可以把兩個(gè)程序合并的軟件為黑客所使用,但其中大多都已被各大防毒軟件列作病毒了��,而且它們有兩個(gè)突出的問(wèn)題存在����,這問(wèn)題就是:合并后的文件體積過(guò)大,只能合并兩個(gè)執(zhí)行文件���。
正因?yàn)槿绱耍诳蛡兗娂姉壷D(zhuǎn)而使用一個(gè)更簡(jiǎn)單而功能更強(qiáng)的軟件��,那就是Joiner�,這個(gè)軟件可以把圖像文件、音頻文件與可執(zhí)行文件合并����,還能減小合并后文件體積,而且可以待使用者執(zhí)行后立即收到信息���,告訴你對(duì)方已中招及對(duì)方的IP�。大家應(yīng)該提高警惕��。
4、偽裝成應(yīng)用程序擴(kuò)展組件
這一類(lèi)屬于最難識(shí)別的特洛伊木馬��。黑客們通常將木馬程序?qū)懗蔀槿魏晤?lèi)型的文件(例如dll�、ocx等)然后掛在一個(gè)十分出名的軟件中,讓人不去懷疑安裝文件的安全性�,更不會(huì)有人檢查它的文件多是否多了。而當(dāng)受害者打開(kāi)軟件時(shí)�,這個(gè)有問(wèn)題的文件即會(huì)同時(shí)執(zhí)行。這種方式相比起用合并程序有一個(gè)更大的好處�,那就是不用更改被入侵者的登錄文件,以后每當(dāng)其打開(kāi)軟件時(shí)木馬程序都會(huì)同步運(yùn)行�。
當(dāng)您遇到以上四種情況時(shí)請(qǐng)小心為妙,說(shuō)不定無(wú)意之中您已經(jīng)中招了?。?/p>
原文地址 http://news.duba.net/contents/2010-01/25/9450.html
關(guān)鍵詞標(biāo)簽:木馬
