| 关键词: 特洛伊木马 程序 木马 计算机 文件 一个 黑客 受害人 用户 电子邮件 |
本文章包含下面部分: ①特洛伊木马的传播方式 ②特洛伊木马的种类 ③编写特洛伊木马的方式 ④阻止特洛伊木马 ⑤进一步认识特洛伊木马 ①特洛伊木马的传播方式 在特洛伊木马程序进行攻击之前,它必须先找到某种方法引诱受害人复制、下载和运行它。由于很少有人明明知道是恶意程序还去运行,所以特洛伊木马必须把自己伪装成受害人认为是无害的其他程序(比如游戏、实用程序或流行软件)。 除把自己伪装成无害的程序之外,特洛伊木马还能乔装打扮,把自己隐藏在一个合法的程序中,如Adobe Photoshop或Microsoft Excel。恶意的黑客为此编写了专门的包装程序或绑定程序,如Saran Wrap、Silk Rope、The Joiner,可以把任何特洛伊木马打包在另一个程序中,因此减少了被人发现的可能性。由于大多数用户不会怀疑来自知名大公司的程序会包含特洛伊木马,受害人很可能去运行包含木马的程序。 黑客在编写特洛伊木马程序后,下一步便是传播,例如把它复制到受害人的机器上,把它贴到站点上供人下载,作为电子邮件的附件发送,通过IRC和在线的聊天室发送,或通过ICQ和其他即时的消息传递服务进行传播。 6.1.1 把特洛伊木马物理地复制到计算机 如果某人能从物理上访问您的计算机,他只要简单地把特洛伊木马程序复制到您的计算机硬盘上就可以了。如果攻击者技艺高超,他还能创建一个定制的木马,模仿只有该计算机才有的程序的样子,比如公司的登录屏幕或公司的数据库程序。这样的木马程序不仅更能骗过受害人,还能针对特定的计算机执行某个动作,例如盗取公司的信用卡号码清单,或复制游戏软件公司尚未发布的游戏的源代码,并把它们贴到网上。 6.1.2 从站点下载软件 特洛伊木马经常现身于提供免费软件(如共享软件)的站点。Web上的这些社区聚会场所给木马编写者提供了一定程度的隐身,以及随机攻击尽可能多的受害人的机会。由于站点的操作人员很少有时间全面地检查用户所贴的每一个文件,偶尔就会有特洛伊木马从检查程序的眼皮底下溜走,不被发觉。 当然,站点管理员一旦发现特洛伊木马的踪迹,就会删掉,以防止别人下载。但是,从特洛伊木马贴到站点上到管理员把它删掉这段时间中,很多人可能已经下载了木马,并辗转传播给了别人。所以,即使能轻而易举地删掉特洛伊木马,但要找到和删除这个木马的所有副本绝非易事,会十分耗时,甚至不可能办到。 有些黑客不是把特洛伊木马往别人的站点上贴,而是自己创建一个站点,假装提供黑客工具或色情文件,引诱用户下载。自然,有些文件是木马程序,所以自粗枝大叶的用户下载并运行程序的那一刻起,木马程序就已自由自在地按编写者的授意进行破坏了。 6.1.3 从电子邮件附件接收特洛伊木马 特洛伊木马另一个常见的传播方式是把程序文件作为电子邮件消息的附件发送。这个附件会利用种种伪装来引诱您打开它。它也许乔装成来自一个合法组织(比如Microsoft或America Online)的消息;也许扮为一个很有诱惑力的程序,像能让您非法访问某台知名计算机的黑客工具;也许伪装成竞赛通告、色情文件,或其他挑起您好奇心的类似消息。 6.1.4 从聊天室或即时消息传递服务发布特洛伊木马 很多黑客把特洛伊木马发送给访问在线聊天室的人,因为这样没有电子邮件地址也能达到传播的目的。黑客一般会先和物色好的受害人套近乎,主动找他们聊天,然后提出给他发送一个黑客程序或色情文件。当受害人接受了文件并把文件打开时,特洛伊木马便发起了攻击。 黑客还喜欢把特洛伊木马发送给使用即时消息传递服务(如ICQ或AOL Instant Messenger)的人。和电子邮件一样,即时消息传递服务也允许攻击者把特洛伊木马直接发送给个人,攻击者所依据的是此人的即时消息传递ID,而这个ID能从成员目录中轻易地获得。 ②特洛伊木马的种类 特洛伊木马一旦潜入计算机,它就能释放出各种不同的有效负载,很像计算机病毒。攻击是多种多样的,有的无害,有的则破坏性很大,包括: ● 显示辱骂或讨厌的消息 ● 删除数据 ● 盗取信息,如密码 ● 把病毒或另一个木马植入计算机 ● 允许远程访问计算机 为了帮助特洛伊木马躲避检测,许多黑客简单地更改木马文件名。虽然这一招瞒不过反病毒程序或木马检测程序,但只是简单的变个名字就常常足以诱骗失察的用户运行木马程序了。 玩笑木马程序 玩笑木马程序不造成损坏,但会从计算机的扬声器中发出惹人讨厌的声音,让计算机屏幕看起来七扭八歪,或在屏幕上显示吓人的信息,如“现在正在格式化硬盘!”虽然这类木马程序非常气人,让人厌烦,但它们是无害的,很容易删除。 1. NVP木马程序 NVP木马程序是一个苹果机木马程序,它修改系统文件,让用户在输入文本时无法显示元音字母(a、e、i、o和u)。为诱使用户运行这个特洛伊木马,NVP木马乔装成一个能对计算机屏幕的外观进行定制的实用程序。 2. IconDance木马程序 IconDance木马程序把所有应用程序的窗口最小化,然后迅速搅乱所有的桌面图标。不过它只是把桌面图标搅乱,让您花时间重新组织Windows桌面而已。 破坏性的木马程序 破坏性的木马程序或者删除整个硬盘的数据,或者有选择地删除或修改特定的文件。虽然这些特洛伊木马是最危险的,但其天生本性却限制了它们的传播:在攻击计算机的过程中,它们常常会因为在屏幕上显示污辱性的文字而暴露自己。而且,如果它们格式化您的硬盘,会把自己也删掉。 计算机受到破坏性的木马攻击的惟一警告可能是硬盘灯不断闪烁或硬盘发出吱吱嘎嘎的声音。等您注意到这个可疑的声音时,可能硬盘上至少已有几个文件被删除了。 1. Feliz木马程序 当Feliz木马程序运行时,它会显示如图6-1所示的图像。如果受害人单击Exit按钮,会出现一系列的消息框,警告用户不要运行程序。最后,程序显示一条“祝用户新年快乐”的消息。 图6-1 Feliz木马程序显示一幅气势汹汹的图像,警告用户不要运行程序 在木马程序显示消息框的同时,它会删除核心的Windows文件,使计算机无法重启。 2. AOL4FREE木马程序 1995年耶鲁的一个学生Nicholas Ryan写了一个叫作AOL4FREE的程序,能让用户不用掏订阅费就可以访问AOL。在AOL4FREE程序的消息曝光后,立即有人编造了一个骗局,警告说AOL4FREE程序实际上是一个特洛伊木马: Anyone who receives this [warning] must send it to as many people as you can. It is essential that this problem be reconciled as soon as possible. A few hours ago, someone opened an Email that had the subject heading of "AOL4FREE.COM". Within seconds of opening it, a window appeared and began to display all his files that were being deleted. He immediately shut down his computer, but it was too late. This virus wiped him out. 不可避免地,有人趁机写了一个特洛伊木马程序,就叫作AOL4FREE,并于1997年3月开始通过电子邮件把它分发给AOL用户。邮件的附件是一个名为AOL4FREE.COM的存档文件,声称能提供最初的那个允许免费访问AOL的AOL4FREE程序。 这个木马程序一旦执行就删除硬盘上的所有文件,然后显示“Bad Command or file name”及一条淫秽的消息。 盗取密码和其他敏感信息的木马程序 特洛伊木马最常见的用途之一是盗取密码。黑客经常编写自定义的特洛伊木马以获得计算机的未经授权的访问。例如,如果学校的一台计算机要求用户在使用前输入密码,黑客就可以安装一个形似登录屏幕的程序,要求用户输入密码。 当丝毫未起疑心的用户输入密码时,木马程序就把密码存起来,并显示一个“计算机停机”的消息,让用户离开,或去登录另一台计算机。然后黑客检索刚才保存的密码,用它们来访问其他人的账户。 如果黑客无法物理地访问目标计算机,有时就把特洛伊木马伪装成游戏或实用程序,诱使受害人加载。木马程序一旦加载,就能盗取硬盘上的文件,然后把文件传回给黑客。因为您甚至都没有意识到计算机中有个木马程序,所以在每次使用计算机时,它都能盗取计算机中的信息。 某人一旦窃取了您的密码或其他重要信息(如信用卡号码),您猜会怎么样?这个窃贼现在就可以访问您的账户,伪装成您的身份,骚扰其他在线的人,或用您的信用卡号码大肆挥霍。 1. Hey You! AOL木马程序 Hey You! AOL木马程序经常伴随一个不请自到的电子邮件,邮件的主题中有“hey you”的字样,正文是: hey i finally got my pics scanned..theres like 5 or 6 of them..so just download it and unzip it..and for you people who dont know how to then scroll down.. tell me what you think of my pics ok? if you dont know how to unzip then follow these steps When you sign off, AOL will automatically unzip the file, unless you have turned this feature off in your download preferences. If you want to do it manually then On the My Files menu on the AOL toolbar, click Download Manager. In the Download Manager window, click Show Files Downloaded. Select my file and click Decompress. 如果受害人下载并运行所附的文件,特洛伊木马就会隐身于内存,用电子邮件把您的ID和密码发送给等在那头的黑客。有了AOL的ID和密码,任何人都能用您的账户访问AOL,甚至修改您的密码,反倒让您自己被锁定,无法使用自己的账户。 2. ProMail木马程序 在1998年,一个叫Michael Haller的程序员开发了一个名为Phoenix Mail的电子邮件程序。后来,他对维护程序感到厌倦,就把它作为免费软件发布,甚至提供了Delphi语言源代码,好让别人可以修改。遗憾的是,有人拿到Phoenix Mail的源代码后,用它编写了一个特洛伊木马程序,ProMail v1.21。 和Phoenix Mail一样,ProMail也自称是免费的电子邮件程序,有几个免费软件和共享软件站点,包括SimTel.net和Shareware.com,把ProMail作为压缩文件proml121.zip进行发布。 当受害人运行ProMail时,程序要求用户输入有关其Internet账户的一大堆信息,这些信息和您设置电子邮件软件以下载电子邮件时填入的信息类似: ● 用户的电子邮件地址和真实姓名 ● 组织 ● 电子邮件回复地址 ● 回复的真名 ● POP3用户名和密码 ● POP3服务器名和端口 ● SMTP服务器名和端口 一旦用户提供了这些信息,ProMail就加密信息,并把这些信息发送给NetAddress(免费电子邮件提供商,http://www.netaddress.com)上的一个账户([email protected])。 由于ProMail允许用户管理多个电子邮件账户,这个特洛伊木马有可能把每个账户的信息发送给等在另一端的黑客,这样黑客就可以对受害人使用的所有电子邮件账户进行完全的访问。 远程访问的特洛伊木马 远程访问程序是人们通过电话或Internet访问另一台计算机时使用的合法工具。例如,销售人员也许需要访问存储在公司的某台计算机中的文件,或技术人员不能亲自到场,需要在线排除计算机的故障。pcAnywhere、Carbon Copy、LapLink都是流行的远程访问程序,甚至Windows XP中内置的远程帮助功能也是。远程访问特洛伊木马(Remote Access Trojan,RAT)其实就是潜入受害人计算机的远程访问程序。像pcAnywhere等远程访问程序都是用户自己有意识地安装的,而RAT则是先诱使受害人在计算机上安装特洛伊木马。一旦安装,RAT就允许一个看不见的用户(他可能在世界的任何一个角落)完全访问这台计算机,就像他本人坐在键盘前一样,您在计算机上做什么、看到什么,他都能看到。 黑客使用RAT能删除硬盘中的文件,把文件(包括病毒或其他特洛伊木马)复制到您的机器,在用户当前运行的一个程序中输入信息, 重新排列文件夹,改变登录密码,弹开CD-ROM驱动器,在扬声器中播放奇怪的噪音,重启计算机,或观察、记录您输入的每个按键,包括信用卡号码、Internet账户密码、电子邮件消息。 RAT分为两个部分:一个服务器文件和一个客户文件。服务器文件在受害人的计算机上运行,客户文件在黑客的计算机上运行。任何计算机,如果无意中安装了特定木马程序的服务器文件,黑客只要运行正确的客户文件,就能连接到那台计算机。 为了诱骗用户安装某个特洛伊木马的服务器文件,黑客经常把该文件伪装成游戏或实用程序,如图6-2所示。当受害人运行木马时,服务器文件把自己安装到计算机上,等着拥有相应的客户文件的人访问这台计算机。 图6-2 为诱骗受害人,很多黑客把木马的服务器文件伪装成可以玩的游戏 一旦服务器文件成功安装后,它在您的计算机上就会打开一个端口,允许您的计算机发送和接收数据。很多黑客会系统地搜索计算机网络(如连接到电缆或DSL调制解调器的计算机),并试着运行不同特洛伊木马的客户文件。他们的希望就是,如果他们或别的黑客设法用一个服务器文件感染了计算机,他们就能使用相应的客户文件连接到这台计算机。 有些特洛伊木马甚至会在安装后偷偷地给黑客发一封电子邮件,通知他服务器文件已经成功安装在目标计算机上,并提供目标计算机的IP地址。黑客一旦得知被感染计算机的IP地址,他就可以通过特洛伊木马访问该计算机。如果这个黑客用心特别险恶,他会把他的发现公诸于众,让拥有相应木马程序的黑客没完没了地访问那台计算机。 1. Back Orifice(BO) 最有名的远程访问特洛伊木马是Back Orifice (绰号BO)。起这个名字,就是模仿Microsoft自己的Back Office程序,有嘲讽的意味。只有为数不多的几个特洛伊木马有自己的站点,Back Orifice 便是其中一个(http://www.cultdeadcow.com/tools/bo.html)。 Cult of the Dead Cow(http://www.cultdeadcow.com)是一个地下计算机组织,它最初把Back Orifice写成一个木马程序,并于1998年发布。这个程序立即引起了轩然大波,世界各地的黑客争相用Back Orifice的服务器文件感染计算机,并访问其他人的计算机。 1999年,Cult of the Dead Cow发布了Back Orifice的升级版本Back Orifice 2000(或BO2K)。Back Orifice 2000和Back Orifice不同,它提供了完整的C/C++源代码,以便让人了解程序的工作方式。另外,Back Orifice 2000还提供了一个插件功能,所以全世界的程序员都可以自己编写插件,扩展它的功能。 随着Back Orifice 2000的发布,Cult of the Dead Cow去掉了程序的黑客根,把BO2K提升为Windows的一个远程管理工具,使它和pcAnywhere与Carbon Copy相提并论,成为同样的远程访问程序。除了免费提供Back Orifice 2000和它的源代码之外,Cult of the Dead Cow还把BO2K的功能和商业性的远程访问工具进行比较,让业界的厂商更加难堪。 除耗费金钱外,商业性的远程访问程序占用的磁盘空间和内存也远远大于BO2K。BO2K只要求1MB多一点儿的磁盘空间和2MB的内存,而Carbon Copy要求20MB的磁盘和8MB的内存,pcAnywhere则更多,要求32MB的磁盘和16MB的内存。也许更令人惊讶的是,BO2K和Carbon Copy都提供隐形远程安装功能,也就是说,两个程序都能在用户不知情的情况下远程访问用户的计算机! 虽然计算机界的人士觉得Back Orifice 2000是个廉价的黑客工具,对它避之唯恐不及,但它不比Carbon Copy更像个黑客工具。而且考虑到编写这个程序的组织和它最初的意图,Back Orifice 2000其实走的是介于特洛伊木马程序和合法的供管理员使用的远程访问工具之间的一个路线。如果谨慎地使用,Back Orifice 2000可以是一个无价的程序,但如果不择手段地使用,它就会成为一件危险的武器。 2. SubSeven SubSeven(见图6-3)是另一个越来越流行的特洛伊木马。SubSeven除了具备远程访问的标准特征(删除、修改、复制文件和文件夹)外,还能盗取ICQ标识号码和密码,接管一个即时消息传递程序,如AOL即时消息器,并让受害人的计算机用计算机产生的声音朗读文本。 图6-3 SubSeven客户程序在一个用户友好的界面中列出木马的所有功能 3. The Thing 像BO2K和SubSeven这样的RAT,其服务器文件大小从300KB到1.2MB不等或者更大。要隐藏这么大的文件可能不太容易,所以黑客有时使用比较小的特洛伊木马,如The Thing。 The Thing只占40KB的空间,因此在链接或绑定到其他程序时能保证不被发现。The Thing不能像其他RAT那样让您完全访问受害人的计算机。它仅仅打开一个端口,以便黑客事后可以上传一个比较大的RAT,如Back Orifice或SubSeven,它们的确可以完全控制计算机。一旦黑客上传并安装比较复杂的RAT之后,就可以从受害人的计算机上删掉The Thing,然后使用其他的RAT为非作歹。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|