在计算机领域中,木马是一类恶意程序,具有隐藏性和自发性等特性,可被用来进行恶意行为的攻击。
木马又被称为特洛伊木马,它是一种基于远程控制的黑客工具,在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用。一台计算机一旦中了木马,就变成了一台“傀儡机”,对方可以在目标计算机中上传下载文件、偷窥私人文件、偷取各种密码及口令信息等,可以说,该计算机的一切秘密都将暴露在黑客面前,隐私将不复存在。
随着网络技术的发展,现在的木马可谓形形色色,种类繁多,并且还在不断增加,因此,要想一次性列举出所有的木马种类,是不可能的。但是,从木马的主要攻击能力来划分,常见的木马主要有以下几种类型。
由于网络游戏中的金币、装备等虚拟财富与现实财富之间的界限越来越模糊,因此,以盗取网络游戏账号和密码为目的的木马也随之发展泛滥起来。网络游戏木马通常采用记录用户键盘输入、游戏进程、API函数等方法获取用户的密码和账号,窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马制作者。
网银木马是针对网上交易系统编写的木马,其目的是盗取用户的卡号、密码等信息。此类木马的危险非常直接,受害用户的损失也更加惨重。
网银木马通常针对性较强,木马制作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。例如“网银大盗”木马,在用户进入银行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码。随着网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
现在,即时通信软件百花齐放,如QQ、微信等,而且网上聊天的用户群也十分庞大,常见的即时通信类木马一般有发送消息型与盗号型。
(1)发送消息型木马:通过即时通信软件自动发送含有恶意网址的消息,目的在于让收到消息的用户单击网址激活木马,用户中木马后又会向更多好友发送木马消息。此类木马常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。
(2)盗号型木马:主要目标在于即时通信软件的登录账号和密码,工作原理和网络游戏木马类似,木马制作者盗得他人账号后,可以偷窥聊天记录等隐私内容。
顾名思义,破坏性木马唯一的功能就是破坏感染木马的计算机文件系统,使其遭受系统崩溃或者重要数据丢失的巨大损失。
代理木马最重要的任务是给被控制的“肉鸡”种上代理木马,让其变成攻击者发动攻击的跳板。通过这类木马,攻击者可在匿名情况下使用Telnet、ICO、IRC等程序,从而在入侵的同时隐蔽自己的踪迹,谨防别人发现自己的身份。
FTP木马的唯一功能就是打开21端口并等待用户连接,新FTP木马还加上了密码功能,这样只有攻击者本人才知道正确的密码,从而进入对方的计算机。
反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,正好与一般木马相反。木马定时监测控制端的存在,发现控制端上线立即弹出,主动连接控制端打开的主动端口。
木马程序千变万化,但大多数木马程序并没有特别的功能,入侵方法大致相同。常见的入侵方法有以下几种。
Win.ini文件位于C:\Windows目录下,在文件的[windows]段中有启动命令run=和load=,一般此两项为空,如果等号后面存在程序名,则可能就是木马程序,应特别当心,这时可根据其提供的源文件路径和功能做进一步检查。
这两项分别是用来当系统启动时自动运行和加载程序的,如果木马程序加载到这两个子项中,系统启动后即可自动运行或加载木马程序。这两项是木马经常攻击的方向,一旦攻击成功,则还会在现有加载的程序文件名之后再加一个自己的文件名或参数,这个文件名也往往是常见文件的,如借command.exe、sys.com等文件来伪装。
System.ini位于C:\Windows目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载地方。如果shell=Explorer.exe file.exe,则file.exe就是木马服务端程序。
另外,在System.ini中的[386Enh]字段中,要注意检查字段内的driver=路径\程序名也有可能被木马所利用。再有就是System.ini中的“mic”“drivers”“drivers32”这3个字段,也是起加载驱动程序的作用,但也是增添木马程序的好场所。
有时木马并不在乎自己的行踪,而在意是否可以自动加载到系统中。启动组无疑是自动加载运行木马的好场所,其对应文件夹为C:\Windows\startmenu\pro-grams\startup。在注册表中的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\shell Folders Startup="c:\Windows\start menu\pro-grams\startup",要检查启动组。
由于注册表比较复杂,所以很多木马都喜欢隐藏在这里。木马一般会利用注册表中下面的几个子项来加载。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run-ServersOnce;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServers。
修改文件关联也是木马常用的入侵手段,当用户一旦打开已修改文件关联的文件后,木马也随之被启动,如冰河木马就是利用文本文件(.txt)这类最常见但又最不引人注目的文件格式关联来加载自己,当中了该木马的用户打开文本文件时就自动加载了冰河木马。
这种入侵方法主要是在网页中放置恶意代码来引诱用户点击,一旦用户单击超链接,就会感染木马,因此,不要随便单击网页中的链接。