一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,实时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了。
特洛伊木马程序不能自动操作, 一个特洛伊木马程序是包含或者安装一个存心不良的程序的,对一个不怀疑的用户来说,它可能看起来是有用或者有趣的计划(或者至少无害),但是实际上当它被运行时是有害的。 特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文档程序时,特洛伊木马才会运行,信息或文档才会被破坏和丢失。 特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。
特洛伊木马有两种,universale的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。
木马程序不能算是一种病毒,但可以和最新病毒、漏洞利用工具一起使用,几乎可以躲过各大杀毒软件,尽管越来越多的新版的杀毒软件可以查杀一些防杀木马了,但是不要认为使用有名的杀毒软件电脑就绝对安全,木马永远是防不胜防的,除非你不上网。
木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经历了6代的改进:
第一代木马:伪装型病毒
这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本(事实上,编写PC-Write的Quicksoft公司从未发行过2.72版本),一旦用户信以为真运行该木马程序,那么他的下场就是硬盘被格式化。在我刚刚上大学的时候,曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序,当你把你的用户ID,密码输入一个和正常的登录界面一模一样的伪登录界面后后,木马程序一面保存你的ID,和密码,一面提示你密码错误让你重新输入,当你第二次登录时,你已成了木马的牺牲品。此时的第一代木马还不具备传染特征。
第二代木马:AIDS型木马
继PC-Write之后,1989年出现了AIDS木马。由于当时很少有人使用电子邮件,所以AIDS的作者就利用现实生活中的邮件进行散播:给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品,价格,预防措施等相关信息。软盘中的木马程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征(尽管通过传统的邮递方式)。
第三代木马:网络传播型木马
随着Internet的普及,这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还有新的特征:
第一,添加了后门功能。所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装,这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息,例如,财务报告、口令及信用卡号。此外,攻击者还可以利用后门控制系统,使之成为攻击其它计算机的帮凶。由于后门是隐藏在系统背后运行的,因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而引起注意。
第二,添加了击键记录功能。
从名称上就可以知道,该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比较有名的有国外的BO2000(BackOrifice)和国内的冰河木马。它们有如下共同特点:基于网络的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。当木马程序攻击得手后,计算机就完全在黑客控制的傀儡主机,黑客成了超级用户,用户的所有计算机操作不但没有任何秘密而言,而且黑客可以远程控制傀儡主机对别的主机发动攻击,这时候背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。虽然木马程序手段越来越隐蔽,但是苍蝇不叮无缝的蛋,只要加强个人安全防范意识,还是可以大大降低中招的几率。对此笔者有如下建议:安装个人防病毒软件、个人防火墙软件;及时安装系统补丁;对不明来历的电子邮件和插件不予理睬;经常去安全网站转一转,以便及时了解一些新木马的底细,做到知己知彼,百战不殆;
作为一个优秀的木马,自动启动功能是必不可少的,这样可保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要,所以,很多编程人员都在不停地研究和探索新的自启动技术,并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中,用户执行该程序时,则木马自动发生作用。当然,更加普遍的方法是通过修改Windows系统文件和注册表达到目的,现经常用的方法主要有以下几种:
⒈在Win.ini中自启动
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,这里是开机自启动的地方,如果有后跟程序,比方说是这个样子:
[windows]
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
⒉在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,你现在该知道也要注意这里了,平时应该是不会注意的。
⒊利用注册表加载运行
注册表并不是容易找到而且容易损坏,建议大家用杀毒软件为妙。
⒋在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录(即打开C盘就可以看到的)下的这两个文件也可以启动木马,这2个文件是隐藏的,一般情况下看不到。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
⒌在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
⒍启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。但是大家放心大部分的杀毒软件对这一块极为敏感因为修改极为容易,所以不需要这么紧张。
⒎*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
⒏修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马,国外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将"C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP等都是木马的目标,要小心喽。
对付这类木马,可以Win+R组合键,输入cmd,在新打开的黑窗口里面输入assoc >D:\1.log 在打开D:\1.log就可以查看当前文件关联了!
⒐捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
⒑反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端(被控制端)主动与客户端(控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。
⒈在任务栏里隐藏
这是最基本的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标,傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以VB为例。在VB中,只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。
⒉在任务管理器里隐藏
查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。如果你按下Ctrl+Alt+Del后可以看见一个木马程序在运行,那么这肯定不是什么好木马。所以,木马会千方百计地伪装自己,使自己不出现在任务管理器里。木马发现把自己设为 "系统服务"就可以轻松地骗过去。
因此,希望通过按Ctrl+Alt+Del发现木马是不大现实的。
⒊端口
一台机器有65536个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势;当然也有占用1024以下端口的木马,但这些端口是常用端口,占用这些端口可能会造成系统不正常,这样的话,木马就会很容易暴露。也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但木马都提供端口修改功能,你有时间扫描65536个端口么?
⒋隐藏通讯
隐藏通讯也是木马经常采用的手段之一。任何木马运行后都要和攻击者进行通讯连接,或者通过即时连接,如攻击者通过客户端直接接入被植入木马的主机;或者通过间接通讯。如通过电子邮件的方式,木马把侵入主机的敏感信息送给攻击者。大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口,如80、23,有一种非常先进的木马还可以做到在占领80HTTP端口后,收到正常的HTTP请求仍然把它交与Web服务器处理,只有收到一些特殊约定的数据包后,才调用木马程序。
⒌隐藏隐加载方式
木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。如果木马不做任何伪装,就告诉你这是木马,你会运行它才怪呢。而随着网站互动化避程的不断进步,越来越多的东西可以成为木马的传播介质,Java Script、VBScript、ActiveX.XLM....几乎WWW每一个新功能部会导致木马的快速进化。
⒍最新隐身技术
在Win9x时代,简单地注册为系统进程就可以从任务栏中消失,可是在Windows xp盛行时,这种方法遭到了惨败。注册为系统进程不仅仅能在任务栏中看到,而且可以直接在Services中直接控制停止运行(太搞笑了,木马被客户端控制)。使用隐藏窗体或控制台的方法也不能欺骗无所不见的Admin大人(要知道,在NT下,Administrator是可以看见所有进程的)。在研究了其他软件的长处之后,木马发现,Windows下的中文汉化软件采用的陷阱技术非常适合木马的使用。
这是一种更新、更隐蔽的方法。通过修改虚拟设备驱动程序(VXD)或修改系统动态数据库 (DLL)来加载木马。这种方法与一般方法不同,它基本上摆脱了原有的木马模式---监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些相应的操作。实际上。这样的事先约定好的特种情况,DLL会执行一般只是使用DLL进行监听,一旦发现控制端的请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它。在往常运行时,木马几乎没有任何瘫状,且木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。[2]
特征
特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小,运行时不会浪费太多资源,因此没有使用杀毒软件是难以发觉的;运行时很难阻止它的行动,运行后,立刻自动登录在系统启动区,之后每次在Windows加载时自动运行;或立刻自动变更文件名,甚至隐形;或马上自动复制到其他文件夹中,运行连用户本身都无法运行的动作;或浏览器自动连往奇怪或特定的网页。
特性
⒈包含在正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下,完成一些危害用户的操作,具有隐蔽性
由于木马所从事的是 "地下工作",因此它必须隐藏起来,它会想尽一切办法不让你发现它。很多人对木马和远程控制软件有点分不清,还是让我们举个例子来说吧。我们进行局域网间通讯的常用软件PCanywhere大家一定不陌生吧?我们都知道它是一款远程控制软件。PCanywhere比在服务器端运行时,客户端与服务器端连接成功后,客户端机上会出现很醒目的提示标志;而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能出现任何明显的标志。木马开发者早就想到了可能暴露木马踪迹的问题,把它们隐藏起来了。例如大家所熟悉木马修改注册表和文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其他程序之中。有些木马把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程序,可以让人在使用绑定的程序时,木马也入侵了系统。甚至有个别木马程序能把它自身的exe文件和服务端的图片文件绑定,在你看图片的时候,木马便侵人了你的系统。它的隐蔽性主要体现在以下两个方面:
⑴不产生图标
木马虽然在你系统启动时会自动运行,但它不会在 "任务栏"中产生一个图标,这是容易理解的,不然的话,你看到任务栏中出现一个来历不明的图标,你不起疑心才怪呢!
⑵木马程序自动在任务管理器中隐藏,并以"系统服务"的方式欺骗操作系统。
⒉具有自动运行性。
木马为了控制服务端。它必须在系统启动时即跟随启动,所以它必须潜人在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
⒊包含具有未公开并且可能产生危险后果的功能的程序。
⒋具备自动恢复功能。
很多的木马程序中的功能模块巴不再由单一的文件组成,而是具有多重备份,可以相互恢复。当你删除了其中的一个,以为万事大吉又运行了其他程序的时候,谁知它又悄然出现。像幽灵一样,防不胜防。
⒌能自动打开特别的端口。
木马程序潜人你的电脑之中的目的主要不是为了破坏你的系统,而是为了获取你的系统中有用的信息,当你上网时能与远端客户进行通讯,这样木马程序就会用服务器客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施进一步的入侵企图。你知道你的电脑有多少个端口?不知道吧?告诉你别吓着:根据TCP/IP协议,每台电脑可以有256乘以256个端口,也即从0到65535号 "门",但我们常用的只有少数几个,木马经常利用我们不大用的这些端口进行连接,大开方便之 "门"。
6、功能的特殊性。
通常的木马功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。上面所讲的远程控制软件当然不会有这些功能,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。[3]
⒈修改图标
木马服务端所用的图标也是有讲究的,木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标,这样很容易诱惑你把它打开。看看,木马是不是很狡猾?
⒉捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。被捆绑的文件一般是可执行文件 (即EXE、COM一类的文件)。
⒊出错显示
有一定木马知识的人部知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序。木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框 (这当然是假的),错误内容可自由定义,大多会定制成一些诸如 "文件已破坏,无法打开!"之类的信息,当服务端用户信以为真时,木马却悄悄侵人了系统。
⒋自我销毁
这项功能是为了弥补木马的一个缺陷。我们知道,当服务端用户打开含有木马的文件后,木马会将自己拷贝到Windows的系统文件夹中(C;\windows或C:\windows\system目录下),一般来说,源木马文件和系统文件夹中的木马文件的大小是一样的 (捆绑文件的木马除外),那么,中了木马的朋友只要在收到的信件和下载的软件中找到源木马文件,然后根据源木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,源木马文件自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下。就很难删除木马了。
⒌木马更名
木马服务端程序的命名也有很大的学问。如果不做任何修改,就使用原来的名字,谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪,不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。例如有的木马把名字改为microsoft-windows.bat(原名应为"win.bat"或"windows.bat"),如果不告诉你这是木马的话,你敢删除吗?还有的就是更改一些后缀名,比如把.dll改为.dl等,不仔细看的,你会发现吗?[4]
1、破坏型
唯一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE等重要文件。
2、密码发送型
可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。
在这里提醒一下,不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中,那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口(包括控件)进行遍历,通过窗口标题查找密码输入和出确认重新输入窗口,通过按钮标题查找我们应该单击的按钮,通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码,向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中,把密码保存在一个文件中,以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举,直到找到密码为止。此类程序在黑客网站上唾手可得,精通程序设计的人,完全可以自编一个。
最后,如果真的想将账号密码储存在计算机里,可以先将数据写在TXT文件里,再将后缀名改成.17864(随便输入),这可以最大限度地防止黑客的入侵。需要用的时候再改过来。
3、远程访问型
最广泛的是特洛伊木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的操作。
程序中用的UDP(User Datagram Protocol,用户报文协议)是因特网上广泛采用的通信协议之一。与TCP协议不同,它是一种非连接的传输协议,没有确认机制,可靠性不如TCP,但它的效率却比TCP高,用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端,只区分发送端和接收端,编程上较为简单,故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。
⒋键盘记录木马
这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验,这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项,顾名思义,它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键,下木马的人都知道,从这些按键中他很容易就会得到你的密码等有用信息,甚至是你的信用卡账号哦!当然,对于这种类型的木马,邮件发送功能也是必不可少的。
⒌Dos攻击木马
随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。
还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
⒍代理木马
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。
⒎FTP木马
这种木马可能是最简单和古老的木马了,它的唯一功能就是打开21端口,等待用户连接。新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进入对方计算机。
⒏程序杀手木马
上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用。
⒐反弹端口型木马
木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。[5]
木马的植入通常是利用了操作系统的漏洞,绕过了对方的防御措施(如防火墙)。中了特洛伊木马程序的计算机,因为资源被占用,速度会减慢,莫名死机,且用户信息可能会被窃取,导致数据外泄..等情况发生。
对于一些常见的木马,如SUB7、BO2000、冰河等等,它们都是采用打开TCP端口监听和写入注册表启动等方式,使用木马克星之类的软件可以检测到这些木马,这些检测木马的软件大多都是利用检测TCP连结、注册表等信息来判断是否有木马入侵,因此我们也可以通过手工来侦测木马。
也许你会对硬盘空间莫名其妙减少500M感到习以为常,这的确算不了什么,天知道Windows的临时文件、缓存文件和浏览器的cookie占用了自己多少硬盘空间。可是,还是有一些现象会让你感到警觉,一旦你觉得你自己的电脑感染了木马,你应该马上用杀毒软件检查一下自己的计算机,然后不管结果如何,就算是杀毒软件告诉你,你的机器没有木马,你也应该再亲自作一次更深入的调查,确保自己机器安全。经常关注新的和出名的木马的特性报告,这将对你诊断自己的计算机问题很有帮助。
⑴当你浏览一个网站,弹出来一些广告窗口是很正常的事情,可是如果你根本没有打开浏览器,而览浏器突然自己打开,并且进入某个网站,那么,你要注意。⑵你正在操作电脑,突然一个警告框或者是询问框弹出来,问一些你从来没有在电脑上接触过的问题。
⑶你的Windows系统配置老是自动莫名其妙地被更改。比如屏保显示的文字,时间和日期,声音大小,鼠标灵敏度,还有CD-ROM的自动运行配置。
⑷硬盘老没缘由地读盘,软驱灯经常自己亮起,网络连接及鼠标屏幕出现异常现象。
这时,最简单的方法就是使用netstat-a命令查看。你可以通过这个命令发现所有网络连接,如果这时有攻击者通过木马连接,你可以通过这些信息发现异常。通过端口扫描的方法也可以发现一些弱智的木马,特别是一些早期的木马,它们捆绑的端口不能更改,通过扫描这些固定的端口也可以发现木马是否被植入。
当然,没有上面的种种现象并不代表你就绝对安全。有些人攻击你的机器不过是想寻找一个跳板。做更重要的事情;可是有些人攻击你的计算机纯粹是为了好玩。对于纯粹处于好玩目的的攻击者,你可以很容易地发现攻击的痕迹;对于那些隐藏得很深,并且想把你的机器变成一台他可以长期使用的肉鸡的黑客们,你的检查工作将变得异常艰苦并且需要你对入侵和木马有超人的敏感度,而这些能力,都是在平常的电脑使用过程日积月累而成的。
我们还可以通过软件来检查系统进程来发现木马。如利用进程管理软件来查看进程,如果发现可疑进程就杀死它。那么,如何知道哪个进程是可疑的呢?教你一个笨方法,有以下进程绝对是正常的:EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRⅥNTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE(如果打开了IE),而出现了其他的、你没有运行的程序的进程就很可疑了。一句话,具体情况具体分析。[6]
如果不幸你的计算机已经被木马光临过了,你的系统文件被黑客改得一塌糊涂,硬盘上稀里糊涂得多出来一大堆乱七八糟的文件,很多重要的数据也可能被黑客窃取。这里给你提供3条建议,希望可以帮助你:
(1)所有的账号和密码都要马上更改,例如拨号连接,ICQ,mIRC,FTP,你的个人站点,免费邮箱等等,凡是需要密码的地方,你都要把密码尽快改过来。
(2)删掉所有你硬盘上原来没有的东西。
(3)检查一次硬盘上是否有病毒存在。
(4)如果条件允许、重装系统或是拷贝数据后直接换掉硬盘!
安全策略
当木马悄悄打开某扇"方便之门"(端口)时,不速之客就会神不知鬼不觉地侵入你的电脑。如果被种下木马其实也不必担心,首先我们要切断它们与外界的联系(就是 堵住可疑端口)。
在Win 2000/XP/2003系统中,Microsoft管理控制台(MMC)已将系统的配置功能汇集成配置模块,大大方便我们进行特殊的设置(以Telnet利用的23端口为例,笔者的操作系统为Win XP)。
操作步骤
首先单击"运行"在框中输入"mmc"后回车,会弹出"控制台1"的窗口。我们依次选择"文件→添加/删除管理单元→在独立标签栏中点击'添加'→IP安全策略管理",最后按提示完成操作。这时,我们已把"IP安全策略,在本地计算机"(以下简称"IP安全策略")添加到"控制台根节点"下。
双击"IP安全策略"就可以新建一个管理规则了。右击"IP安全策略",在弹出的快捷菜单中选择"创建IP安全策略",打开IP安全策略向导,点击"下一步→名称默认为'新IP安全策略'→下一步→不必选择'激活默认响应规则'"(注意:在点击"下一步的同时,需要确认此时"编辑属性"被选中),然后选择"完成→在"新IP安全策略属性→添加→不必选择'使用添加向导'"。
在寻址栏的源地址应选择"任何IP地址",目标地址选择"我的IP地址"(不必选择镜像)。在协议标签栏中,注意类型应为TCP,并设置IP协议端口从任意端口到此端口23,最后点击"确定"即可。这时在"IP筛选器列表"中会出现一个"新IP筛选器",选中它,切换到"筛选器操作"标签栏,依次点击"添加→名称默认为'新筛选器操作'→添加→阻止→完成"。
新策略需要被激活才能起作用,具体方法是:在"新IP安全策略"上点右键,"指派"刚才制定的策略。
效果
当我们从另一台电脑Telnet到设防的这一台时,系统会报告登录失败;用扫描工具扫描这台机子,会发现23端口仍然在提供服务。以同样的方法,大家可以把其它任何可疑的端口都封杀掉,让不速之客们大叫"不妙"去吧!
教您手工轻松清除隐藏在电脑里的病毒和木马
上网的朋友越来越多了,其中有一点不可避免的就是如何防范和查杀病毒和恶意攻击程序了。但是,如果不小心中了病毒而身边又没有杀毒软件怎么办?没有关系,今天我就来教大家怎样轻松地手工清除藏在电脑里的病毒和木马。
检查注册表
注册表一直都是很多木马和病毒"青睐"的寄生场所,注意在检查注册表之前要先给注册表备份。
1、 检查注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice,查看键值中有没有自己不熟悉的自动启动文件,扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中搜索,凡是看到了一样的文件名的键值就要删除,接着到电脑中找到木马文件的藏身地将其彻底删除?比如"爱虫"病毒会修改上面所提的第一项,BO2000木马会修改上面所提的第二项)。
2、 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果发现键值被修改了,只要根据你的判断改回去就行了。恶意代码(如"万花谷")就经常修改这几项。
3、检查HKEY_CLASSES_ROOT\inifile \shell\open\command和HKEY_CLASSES_ROOT \txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来,很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。例如"罗密欧与朱丽叶"?BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默认打开程序。
检查你的系统配置文件
其实检查系统配置文件最好的方法是打开Windows"系统配置实用程序"(从开始菜单运行msconfig.exe),在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini,并且可以选择启动系统的时间。
1、检查win.ini文件(在C?\windows\下),打开后,在?WINDOWS?下面,"run="和"load="是可能加载"木马"程序的途径,必须仔细留心它们。在一般情况下,在它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上"木马"了。比如攻击QQ的"GOP木马"就会在这里留下痕迹。
2、检查system.ini文件(在C:\windows\下),在BOOT下面有个"shell=文件名"。正确的文件名应该是"explorer.exe",如果不是"explorer.exe",而是"shell= explorer.exe 程序名",那么后面跟着的那个程序就是"木马"程序,然后你就要在硬盘找到这个程序并将其删除了。这类的病毒很多,比如"尼姆达"病毒就会把该项修改为"shell=explorer.exe load.exe -dontrunold"。
清除木马
笔者用BT下载了一个格斗游戏,运行安装程序后没有任何反应。起初,笔者以为是安装程序已经损坏就顺手给删掉了,没有特别留意。但第二天开机时,金山毒霸突然无法加载。由于以前也有过类似的经历,所以笔者感觉昨天下载的那个格斗游戏多半捆绑了木马。
为了安全起见,笔者立刻断掉了网络连 接,然后打开"Windows任务管理器",经过排除找到了名为"sprite.exe"的可疑进程。结束该进程后金山毒霸就可以正常运行了,但仍然无法查出木马的所在。利用Windows自带的搜索功能搜索"sprite.exe",选择包括隐藏文件,也只搜到文件"sprite.exe"。正要删除时,笔者突发奇想:木马通常进驻内存时都会自动生成一些辅助文件,何不利用Windows自带的查看文件属性功能达到一劳永逸的目的?说干就干,找到文件"sprite.exe"用右键点击,在弹出的对话框中选择 "属性",电脑显示该文件创建于2003年10月9日18:08:19。点击"开始→高级搜索",将文件创建日期设定为10月9日,搜索……在搜索结果中找到两个创建时间为2003年10月9日18:08:19的文件:"Hiddukel.exe"和"Hiddukel.dll"(大小分别为71KB和15KB),一并删除,大功告成。
后来笔者从网上了解到这种木马叫做"妖精"。最新版本的杀毒软件和防火墙均不能清除这种木马。以下是手工清除此木马的方法:
⒈打开注册表编辑器,找到"HKEY_ CLASSES_ROOT\exefile\shell\open\command"下的"C:\Windows\System\Hiddukel.exe"键值和"HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command"下的"C:\Windows\System\Hiddukel.exe"键值后,将它们删除;
⒉打开C:\Windows\System目录,找到Hiddukel.exe(71KB)和Hiddukel.dll(15KB)两个文件后,将它们删除;
⒊查找你的电脑里是否有Sprite.exe(132KB)或者crawler.exe(131KB),如果有的话也要彻底将它们删除。
木马多数都会在进驻内存时自动生成一些动态链接文件。笔者介绍的这种利用查看文件创建时间进行文件搜索的方法,有些时候是很好用的,感兴趣的朋友不妨试试(对于经常安装游戏和软件的玩家可能不适用)。
1、冒充为图像文件
首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用。
只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe)为"类似"图像文件的名称 ,再假装传送照片给受害者,受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是 exe,而木马程序的扩展名基本上又必定是 exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把文件名改变,例如把"sam.exe" 更改为"sam.jpg.exe" ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为windows 默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好你的计算机又是设定为隐藏扩展名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了!
还有一个问题就是,木马本身是没有图标的,而在电脑中它会显示一个windows 预设的图标,别人一看便会知道了!但入侵者还是有办法的,这就是给文件换个"马甲",即修改文件图标。
修改文件图标的方法如下:
⑴下载一个名为IconForge 的软件,再进行安装。
⑵执行程序,按下File > Open
⑶在File Type 选择exe 类
⑷在File > Open 中载入预先制作好的图标(可以用绘图软件或专门制作icon 的软件制作,也可以在网上找找)。
⑸然后按下File > Save 便可以了。
如此这般最后得出的,便是看似jpg 或其他图片格式的木马了,很多人就会不经意间执行了它。
2、合并程序欺骗
通常有经验的用户,是不会将图像文件和可执行文件混淆的,所以很多入侵者一不做二不休,干脆将木马程序说成是应用程序:反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者,例如说成是新出炉的游戏,无所不能的黑客程序等等,目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的,于是在悄无声息中,很多受害者便以为是传送时文件损坏了而不再理会它。
如果有更小心的用户,上面的方法有可能会使他们的产生坏疑,所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件,以后只需执行这个合拼文件,两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼,由于执行合拼文件时 wrap.exe会正常执行,受害者在不知情中,背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner,由于它具有更大的欺骗性,使得安装特洛伊木马的一举一动了无痕迹,是一件相当危险的黑客工具。让我们来看一下它是如何运作的:
以往有不少可以把两个程序合拼的软件为黑客所使用,但其中大多都已被各大防毒软件列作病毒了,而且它们有两个突出的问题存在,这问题就是:
⑴合拼后的文件体积过大
⑵只能合拼两个执行文件
正因为如此,黑客们纷纷弃之转而使用一个更简单而功能更强的软件,那就是Joiner 了。此软件不但把软件合拼后的体积减少,而且可以待使用者执行后立马就能收到一个icq 的信息,告诉你对方已中招及对方的IP ,更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼,用起来相当方便。
首先把Joiner 解压,然后执行Joiner ,在程序的画面里,有"First executable : "及" Second File : "两项,这两行的右方都有一个文件夹图标,分别各自选择想合拼的文件。
下面还有一个Enable ICQ notification 的空格,如果选取后,当对方执行了文件时,便会收到对方的一个ICQ Web Messgaer ,里面会有对方的ip ,当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后,合拼后的文件会比较大。
最后便按下"Join" ,在Joiner 的文件夹里,便会出现一个Result.exe 的文件,文件可更改名称,因而这种"混合体"的隐蔽性是不言而喻的。
3、以Z-file伪装加密程序
Z-file 伪装加密软件是台湾华顺科技的产品,其经过将文件压缩加密之后,再以 bmp图像文件格式显示出来(扩展名是 bmp,执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据,用以就算计算机被入侵或被非法使使用时,也不容易泄漏你的机密数据所在。不过如果到了黑客手中,却可以变成一个入侵他人的帮凶。使用者会将木马程序和小游戏合拼,再用 Z-file 加密及将 此"混合体"发给受害者,由于看上去是图像文件,受害者往往都不以为然,打开后又只是一般的图片,最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马,甚至病毒!当打消了受害者警惕性后,再让他用WinZip 解压缩及执行 "伪装体 (比方说还有一份小礼物要送给他),这样就可以成功地安装了木马程序。如果入侵者有机会能使用受害者的电脑(比如上门维修电脑),只要事先已经发出了"混合体,则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑,受害者根本不会怀疑有什么植入他的计算机中,而且时间并不长,30秒时间已经足够。就算是"明晃晃"地在受害者面前操作,他也不见得会看出这一双黑手正在干什么。特别值得一提的是,由于 "混合体" 可以躲过反病毒程序的检测,如果其中内含的是一触即发的病毒,那么一经解开压缩,后果将是不堪设想。
4、伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中,例如 OICQ。由于OICQ本身已有一定的知名度,没有人会怀疑它的安全性,更不会有人检查它的文件多是否多了。而当受害者打开OICQ时,这个有问题的文件即会同时执行。此种方式相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开OICQ时木马程序就会同步运行 ,相较一般特洛伊木马可说是"踏雪无痕"。更要命的是,此类入侵者大多也是特洛伊木马编写者,只要稍加改动,就会派生出一支新木马来,所以即使杀是毒软件也拿它没有丝毫办法。[7]
当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 2000则是使用54320等等。那么,我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。以下是详细方法介绍。
1. Windows本身自带的netstat命令
关于netstat命令,我们先来看看windows帮助文件中的介绍:
Netstat
显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
参数
-a
显示所有连接和侦听端口。服务器连接通常不显示。
-e
显示以太网统计。该参数可以与 -s 选项结合使用。
-n
以数字格式显示地址和端口号(而不是尝试查找名称)。
-s
显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。
-p protocol
显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。
-r
显示路由表的内容。
interval
重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。
好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命令的a和n两个参数:
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0
解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。看!我的机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法。
2.工作在windows2000下的命令行工具fport
使用windows2000的朋友要比使用windows9X的幸运一些,因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。
Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口,以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用,请看例子:
D:\>fport.exe
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone,Inc.
Pid Process Port Proto Path
748 tcpsvcs -> 7TCP C:\WINNT\System32\tcpsvcs.exe
748 tcpsvcs -> 9TCP C:\WINNT\System32\tcpsvcs.exe
748 tcpsvcs -> 19TCP C:\WINNT\System32\tcpsvcs.exe
416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
是不是一目了然了。这下,各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口,可千万不要大意哦,也许那就是一只狡猾的木马!
Fport的最新版本是2.0。在很多网站都提供下载,但是为了安全起见,当然最好还是到它的老家去下:
⒊与Fport功能类似的图形化界面工具Active Ports
Active Ports为SmartLine出品,你可以用来监视电脑所有打开的TCP/IP/UDP端口,不但可以将你所有的端口显示出来,还显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动。下面是软件截图:
是不是很直观?更棒的是,它还提供了一个关闭端口的功能,在你用它发现木马开放的端口时,可以立即将端口关闭。这个软件工作在Windows NT/2000/XP平台下。你可以在得到它。
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出端口与进程的对应来。
上面介绍了几种查看本机开放端口,以及端口和进程对应关系的方法,通过这些方法可以轻松的发现基于TCP/UDP协议的木马,希望能给你的爱机带来帮助。但是对木马重在防范,而且如果碰上反弹端口木马,利用驱动程序及动态链接库技术制作的新木马时,以上这些方法就很难查出木马的痕迹了。所以我们一定要养成良好的上网习惯,不要随意运行邮件中的附件,安装一套杀毒软件,像国内的瑞星就是个查杀病毒和木马的好帮手。从网上下载的软件先用杀毒软件检查一遍再使用,在上网时打开网络防火墙和病毒实时监控,保护自己的机器不被可恨的木马入侵。[8]
联系客服
