共找到9條詞條名為木馬的結果 展開
木馬
計算機惡意程序
木馬,也稱為木馬病毒,是指隱藏在正常程序中的一段具有特殊功能的惡意代碼,是具備破壞和刪除文件、發送密碼、記錄鍵盤和攻擊Dos等特殊功能的後門程序。木馬病毒其實是計算機黑客用於遠程控制計算機的程序,將控制程序寄生於被控制的計算機系統中,裡應外合,對被感染木馬病毒的計算機實施操作。一般的木馬病毒程序主要是尋找計算機後門,伺機竊取被控計算機中的密碼和重要文件等。可以對被控計算機實施監控、資料修改等非法操作。木馬病毒具有很強的隱蔽性,可以根據黑客意圖突然發起攻擊。
“木馬”與計算機網路中常常要用到的遠程控制軟體有些相似,但由於遠程控制軟體是“善意”的控制,因此通常不具有隱蔽性;“木馬”則完全相反,木馬要達到的是“偷竊”性的遠程控制,如果沒有很強的隱蔽性的話,那就是“毫無價值”的。
木馬[計算機惡意程序]
隨著病毒編寫技術的發展,木馬程序對用戶的威脅越來越大,尤其是一些木馬程序採用了極其狡猾的手段來隱蔽自己,使普通用戶很難在中毒后發覺。
一個完整的特洛伊木馬套裝程序含了兩部分:服務端(伺服器部分)和客戶端(控制器部分)。植入對方電腦的是服務端,而黑客正是利用客戶端進入運行了服務端的電腦。運行了木馬程序的服務端以後,會產生一個有著容易迷惑用戶的名稱的進程,暗中打開埠,向指定地點發送數據(如網路遊戲的密碼,即時通信軟體密碼和用戶上網密碼等),黑客甚至可以利用這些打開的埠進入電腦系統。
特洛伊木馬程序不能自動操作,一個特洛伊木馬程序是包含或者安裝一個存心不良的程序的,它可能看起來是有用或者有趣的計劃(或者至少無害)對一不懷疑的用戶來說,但是實際上有害當它被運行。特洛伊木馬不會自動運行,它是暗含在某些用戶感興趣的文檔中,用戶下載時附帶的。當用戶運行文檔程序時,特洛伊木馬才會運行,信息或文檔才會被破壞和遺失。特洛伊木馬和後門不一樣,後門指隱藏在程序中的秘密功能,通常是程序設計者為了能在日後隨意進入系統而設置的。
特洛伊木馬有兩種,universal的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。
特洛伊木馬不經電腦用戶准許就可獲得電腦的使用權。程序容量十分輕小,運行時不會浪費太多資源,因此沒有使用殺毒軟體是難以發覺的,運行時很難阻止它的行動,運行后,立刻自動登錄在系統引導區,之後每次在Windows載入時自動運行,或立刻自動變更文件名,甚至隱形,或馬上自動複製到其他文件夾中,運行連用戶本身都無法運行的動作。
木馬程序技術發展可以說非常迅速。主要是有些年輕人出於好奇,或是急於顯示自己實力,不斷改進木馬程序的編寫。至今木馬程序已經經歷了六代的改進:
第一代,是最原始的木馬程序。主要是簡單的密碼竊取,通過電子郵件發送信息等,具備了木馬最基本的功能。
第二代,在技術上有了很大的進步,冰河是中國木馬的典型代表之一。
第三代,主要改進在數據傳遞技術方面,出現了ICMP等類型的木馬,利用畸形報文傳遞數據,增加了殺毒軟體查殺識別的難度。
第四代,在進程隱藏方面有了很大改動,採用了內核插入式的嵌入方式,利用遠程插入線程技術,嵌入DLL線程。或者掛接PSAPI,實現木馬程序的隱藏,甚至在Windows NT/2000下,都達到了良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬。
第五代,驅動級木馬。驅動級木馬多數都使用了大量的Rootkit技術來達到在深度隱藏的效果,並深入到內核空間的,感染后針對殺毒軟體和網路防火牆進行攻擊,可將系統SSDT初始化,導致殺毒防火牆失去效應。有的驅動級木馬可駐留BIOS,並且很難查殺。
第六代,隨著身份認證UsbKey和殺毒軟體主動防禦的興起,黏蟲技術類型和特殊反顯技術類型木馬逐漸開始系統化。前者主要以盜取和篡改用戶敏感信息為主,後者以動態口令和硬證書攻擊為主。PassCopy和暗黑蜘蛛俠是這類木馬的代表。
隨著網路在線遊戲的普及和升溫,中國擁有規模龐大的網遊玩家。網路遊戲中的金錢、裝備等虛擬財富與現實財富之間的界限越來越模糊。與此同時,以盜取網游帳號密碼為目的的木馬病毒也隨之發展泛濫起來。
網路遊戲木馬通常採用記錄用戶鍵盤輸入、Hook遊戲進程API函數等方法獲取
木馬[計算機惡意程序]
網路遊戲木馬的種類和數量,在國產木馬病毒中都首屈一指。流行的網路遊戲無一不受網游木馬的威脅。一款新遊戲正式發布后,往往在一到兩個星期內,就會有相應的木馬程序被製作出來。大量的木馬生成器和黑客網站的公開銷售也是網游木馬泛濫的原因之一。
木馬病毒
網銀木馬通常針對性較強,木馬作者可能首先對某銀行的網上交易系統進行仔細分析,然後針對安全薄弱環節編寫病毒程序。2013年,安全軟體電腦管家截獲網銀木馬最新變種“弼馬溫”,弼馬溫病毒能夠毫無痕迹的修改支付界面,使用戶根本無法察覺。通過不良網站提供假QVOD下載地址進行廣泛傳播,當用戶下載這一掛馬播放器文件安裝后就會中木馬,該病毒運行后即開始監視用戶網路交易,屏蔽餘額支付和快捷支付,強制用戶使用網銀,並藉機篡改訂單,盜取財產。
隨著中國網上交易的普及,受到外來網銀木馬威脅的用戶也在不斷增加。
這種木馬程序的體積一般很小,其功能是從網路上下載其他病毒程序或安裝廣告軟體。由於體積很小,下載類木馬更容易傳播,傳播速度也更快。通常功能強大、體積也很大的後門類病毒,如“灰鴿子”、“黑洞”等,傳播時都單獨編寫一個小巧的下載型木馬,用戶中毒後會把後門主程序下載到本機運行。
用戶感染代理類木馬後,會在本機開啟HTTP、SOCKS等代理服務功能。黑客把受感染計算機作為跳板,以被感染用戶的身份進行黑客活動,達到隱藏自己的目的。
FTP型木馬打開被控制計算機的21號埠(FTP所使用的默認埠),使每一個人都可以用一個FTP客戶端程序來不用密碼連接到受控制端計算機,並且可以進行最高許可權的上傳和下載,竊取受害者的機密文件。新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進入對方計算機。
國內即時通訊軟體百花齊放。QQ、新浪UC、網易泡泡、盛大圈圈……網上聊天的用戶群十分龐大。常見的即時通訊類木馬一般有3種:
a、發送消息型
通過即時通訊軟體自動發送含有惡意網址的消息,目的在於讓收到消息的用戶點擊網址中毒,用戶中毒后又會向更多好友發送病毒消息。此類病毒常用技術是搜索聊天窗口,進而控制該窗口自動發送文本內容。發送消息型木馬常常充當網游木馬的廣告,如“武漢男生2005”木馬,可以通過MSN、QQ、UC等多種聊天軟體發送帶毒網址,其主要功能是盜取傳奇遊戲的帳號和密碼。
b、盜號型
主要目標在於即時通訊軟體的登錄帳號和密碼。工作原理和網游木馬類似。病毒作者盜得他人帳號后,可能偷窺聊天記錄等隱私內容,在各種通訊軟體內向好友發送不良信息、廣告推銷等語句,或將帳號賣掉賺取利潤。
c、傳播自身型
2005年初,“MSN性感雞”等通過MSN傳播的蠕蟲泛濫了一陣之後,MSN推出新版本,禁止用戶傳送可執行文件。2005年上半年,“QQ龜”和“QQ愛蟲”這兩個國產病毒通過QQ聊天軟體發送自身進行傳播,感染用戶數量極大,在江民公司統計的2005年上半年十大病毒排行榜上分列第一和第四名。從技術角度分析,發送文件類的QQ蠕蟲是以前發送消息類QQ木馬的進化,採用的基本技術都是搜尋到聊天窗口后,對聊天窗口進行控制,來達到發送文件或消息的目的。只不過發送文件的操作比發送消息複雜很多。
網頁點擊類木馬會惡意模擬用戶點擊廣告等動作,在短時間內可以產生數以萬計的點擊量。病毒作者的編寫目的一般是為了賺取高額的廣告推廣費用。此類病毒的技術簡單,一般只是向伺服器發送HTTP GET請求。
2018年1月,卡巴斯基實驗室宣布,發現了Skygofree這款間諜軟體工具;其中Android間諜軟體Skygofree是專為有針對性的監控而設計的,被用來作為網路武器。
首先找到感染文件,其手動方法是結束相關進程然後刪除文件。但是目前網際網路上出現了各種殺毒軟體及專殺,我們可以藉助這些安全工具進行查殺。
木馬和病毒都是一種人為的程序,都屬於電腦病毒,為什麼木馬要單獨提出來說呢?大家都知道以前的電腦病毒的作用,其實完全就是為了搞破壞,破壞電腦里的資料數據,除了破壞之外其它無非就是有些病毒製造者為了達到某些目的而進行的威懾和敲詐勒索的作用,或為了炫耀自己的技術. "木馬"不一樣,木馬的作用是赤裸裸的偷監視別人和盜竊別人密碼,數據等,如盜竊管理員密碼-子網密碼搞破壞,或者好玩,偷竊上網密碼用於別處,遊戲帳號,股票帳號,甚至網上銀行帳戶等等。達到偷窺別人隱私和得到經濟利益為目的。所以木馬的作用比早期的電腦病毒更加有用。更能夠直接達到使用者的目的!導致許多別有用心的程序開發者大量的編寫這類帶有偷竊和監視別人電腦的侵入性程序,這就是網上大量木馬泛濫成災的原因。鑒於木馬的這些巨大危害性和它與早期病毒的作用性質不一樣,所以木馬雖然屬於病毒中的一類,但是要單獨的從病毒類型中間剝離出來。獨立的稱之為"木馬"程序。
一般來說一種殺毒軟體程序,它的木馬專殺程序能夠查殺某某木馬的話,那麼它自己的普通殺毒程序也當然能夠殺掉這種木馬,因為在木馬泛濫的今天,為木馬單獨設計一個專門的木馬查殺工具,那是能提高該殺毒軟體的產品檔次的,對其聲譽也大大的有益,實際上一般的普通殺毒軟體里都包含了對木馬的查殺功能。如果大家說某某殺毒軟體沒有木馬專殺的程序,那這家殺毒軟體廠商自己也好像有點過意不去,即使它的普通殺毒軟體里當然的有殺除木馬的功能。並且,在網際網路上公開的病毒,一般殺毒廠商都會更新病毒庫,便以查殺。
還有一點就是,把查殺木馬程序單獨剝離出來,可以提高查殺效率,很多殺毒軟體里的木馬專殺程序只對木馬進行查殺,不去檢查普通病毒庫里的病毒代碼,也就是說當用戶運行木馬專殺程序的時候,程序只調用木馬代碼庫里的數據,而不調用病毒代碼庫里的數據,大大提高木馬查殺速度。我們知道查殺普通病毒的速度是比較慢的,因為有太多太多的病毒。每個文件要經過幾萬條木馬代碼的檢驗,然後再加上已知的差不多有近10萬個病毒代碼的檢驗,那速度豈不是很慢了。省去普通病毒代碼檢驗,是不是就提高了效率,提高了速度呢? 也就是說好多殺毒軟體自帶的木馬專殺程序只查殺木馬而一般不去查殺病毒,但是它自身的普通病毒查殺程序既查殺病毒又查殺木馬!
如何查出:
在使用常見的木馬查殺軟體及殺軟體的同時,系統自帶的一些基本命令也可以發現木馬病毒:
一、檢測網路連接
如果你懷疑自己的計算機上被別人安裝了木馬,或者是中了病毒,但是手裡沒有完善的工具來檢測是不是真有這樣的事情發生,那可以使用Windows自帶的網路命令來看看誰在連接你的計算機。
具體的命令格式是:netstat -an這個命令能看到所有和本地計算機建立連接的IP,它包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前埠狀態)。通過這個命令的詳細信息,我們就可以完全監控計算機上的連接,從而達到控制計算機的目的。
二、禁用不明服務
很多朋友在某天系統重新啟動後會發現計算機速度變慢了,不管怎麼優化都慢,用殺毒軟體也查不出問題,這個時候很可能是別人通過入侵你的計算機后給你開放了特別的某種服務,比如IIS信息服務等,這樣你的殺毒軟體是查不出來的。但是別急,可以通過“net start”來查看系統中究竟有什麼服務在開啟,如果發現了不是自己開放的服務,我們就可以有針對性地禁用這個服務了。
方法就是直接輸入“net start”來查看服務,再用“net stop server”來禁止服務。
三、輕鬆檢查賬戶
很長一段時間,惡意的攻擊者非常喜歡使用克隆賬號的方法來控制你的計算機。他們採用的方法就是激活一個系統中的默認賬戶,但這個賬戶是不經常用的,然後使用工具把這個賬戶提升到管理員許可權,從表面上看來這個賬戶還是和原來一樣,但是這個克隆的賬戶卻是系統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。
為了避免這種情況,可以用很簡單的方法對賬戶進行檢測。
首先在命令行下輸入net user,查看計算機上有些什麼用戶,然後再使用“net user 用戶名”查看這個用戶是屬於什麼許可權的,一般除了Administrator是administrators組的,其他都不是!如果你發現一個系統內置的用戶是屬於administrators組的,那幾乎肯定你被入侵了,而且別人在你的計算機上克隆了賬戶。快使用“net user用戶名/del”來刪掉這個用戶吧!
聯網狀態下的客戶端。對於沒有聯網的客戶端,當其聯網之後也會在第一時間內收到更新信息將病毒特徵庫更新到最新版本。不僅省去了用戶去手動更新的煩瑣過程,也使用戶的計算機時刻處於最佳的保護環境之下。
四、對比系統服務項
1、點擊“開始,運行”輸入“msconfig.exe"回車,打開”系統配置實用程序,然後 在“服務”選項卡中勾選“隱藏所有Microsoft服務”,這時列表中顯示的服務項都是非系統程序。
2、再點擊“開始,運行”,輸入Services.msc"回車,打開“系統服務管理”,對比兩張表,在該“服務列表”中可以逐一找出剛才顯示的非系統服務項。
3、在“系統服務”管理界面中,找到那些服務后,雙擊打開,在“常規”選項卡中的可執行文件路徑中可以看到服務的可執行文件位置,一般正常安裝的程序,比如殺毒,MSN,防火牆,等,都會建立自己的系統服務,不在系統目錄下,如果有第三方服務指向的路徑是在系統目錄下,那麼他就是“木馬”。選中它,選擇表中的“禁止”,重新啟動計算機即可。
4、要點:有一個表的左側:有被選中的服務程序說明,如果沒用,它就是木馬。
1、盜取我們的網游賬號,威脅我們的虛擬財產的安全
木馬病毒會盜取我們的網游賬號,它會盜取我們帳號后,並立即將帳號中的遊戲裝備轉移,再由木馬病毒使用者出售這些盜取的遊戲裝備和遊戲幣而獲利。
2、盜取我們的網銀信息,威脅我們的真實財產的安全
木馬採用鍵盤記錄等方式盜取我們的網銀帳號和密碼,併發送給黑客,直接導致我們的經濟損失。
3、利用即時通訊軟體盜取我們的身份,傳播木馬病毒等不良信息
中了此類木馬病毒后,可能導致我們的經濟損失。在中了木馬後電腦會下載病毒作者指定的程序任意程序,具有不確定的危害性。如惡作劇等。
4、給我們的電腦打開後門,使我們的電腦可能被黑客控制
如灰鴿子木馬等。當我們中了此類木馬後,我們的電腦就可能淪為肉雞,成為黑客手中的工具。
木馬查殺(查殺軟體很多,有些病毒軟體都能殺木馬)
防火牆(分硬體和軟體)家裡面的就用軟體好了,如果是公司或其他地方就硬體和軟體一起用。
基本能防禦大部分木馬,但是的軟體都不是萬能的,還要學點專業知識,有了這些,你的電腦就安全多了。高手也很多,只要你不隨便訪問來歷不明的網站,使用來歷不明的軟體(很多盜版或破解軟體都帶木馬,這個看你自己經驗去區分),還要及時更新系統漏洞,如果你都做到了,木馬,病毒。就不容易進入你的電腦了。
1、禁用系統還原
如果您運行的是Windows Me 或Windows XP,建議您暫時關閉“系統還原”。此功能默認情況下是啟用的,一旦計算機中的文件被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程序在內的外部程序修改系統還原。因此,防病毒程序或工具無法刪除 System Restore 文件夾中的威脅。這樣,系統還原就可能將受感染文件還原到計算機上,即使您已經清除了所有其他位置的受感染文件。
此外,病毒掃描可能還會檢測到System Restore 文件夾中的威脅,即使您已將該威脅刪除。
注意:蠕蟲移除乾淨后,請按照上述文章所述恢復系統還原的設置。
2、安全模式或VGA 模式
關閉計算機,等待至少 30 秒鐘后重新啟動到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用戶:將計算機重啟到安全模式。所有 Windows 32-bit 作系統,除了Windows NT,可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機。
Windows NT 4 用戶:將計算機重啟到 VGA 模式。
掃描和刪除受感染文件啟動防病毒程序,並確保已將其配置為掃描所有文件。運行完整的系統掃描。如果檢測到任何文件被 Download.Trojan 感染,請單擊“刪除”。如有必要,清除 Internet Explorer 歷史和文件。如果該程序是在 Temporary Internet Files 文件夾中的壓縮文件內檢測到的,請執行以下步驟:
啟動 Internet Explorer。單擊“工具”>;“Internet 選項”。單擊“常規”選項卡“Internet臨時文件”部分中,單擊“刪除文件”,然後在出現提示后單擊“確定”。在“歷史”部分,單擊“清除歷史”,然後在出現提示后單擊“是”。
木馬是一種基於遠程控制的病毒程序,該程序具有很強的隱蔽性和危害性,它可以在人不知鬼不覺的狀態下控制你或者監視你。下面就是木馬潛伏的詭招,看了以後不要忘記採取絕招來對付這些損招。
1、集成到程序中
其實木馬也是一個伺服器――客戶端程序,它為了不讓用戶能輕易地把它刪除,就常常集成到程序里,一旦用戶激活木馬程序,那麼木馬文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。綁定到某一應用程序中,如綁定到系統文件,那麼每一次Windows啟動均會啟動木馬。
2、隱藏在配置文件中
木馬實在是太狡猾,知道菜鳥們平時使用的是圖形化界面的操作系統,對於那些已經不太重要的配置文件大多數是不聞不問了,這正好給木馬提供了一個藏身之處。而且利用配置文件的特殊作用,木馬很容易就能在大家的計算機中運行、發作,從而偷窺或者監視大家。不過,這種方式不是很隱蔽,容易被發現,所以在Autoexec.bat和Config.sys中載入木馬程序的並不多見,但也不能因此而掉以輕心。
3、潛伏在Win.ini中
木馬要想達到控制或者監視計算機的目的,必須要運行,然而沒有人會傻到自己在自己的計算機中運行這個該死的木馬。當然,木馬也早有心理準備,知道人類是高智商的動物,不會幫助它工作的,因此它必須找一個既安全又能在系統啟動時自動運行的地方,於是潛伏在Win.ini中是木馬感覺比較愜意的地方。大家不妨打開Win.ini來看看,在它的[windows]欄位中有啟動命令“load=”和“run=”,在一般情況下“=”後面是空白的,如果有後跟程序,比方說是這個樣子:run=c:windowsfile. Exeload=c:windowsfile.exe。這時你就要小心了,這個file.exe很可能是木馬。
4、偽裝在普通文件中
這個方法出現的比較晚,不過很流行,對於不熟練的windows操作者,很容易上當。具體方法是把可執行文件偽裝成圖片或文本——在程序中把圖標改成Windows的默認圖片圖標,再把文件名改為*.jpg.exe,由於Win98默認設置是“不顯示已知的文件後綴名”,文件將會顯示為*.jpg,不注意的人一點這個圖標就中木馬了(如果你在程序中嵌一張圖片就更完美了)。
5、內置到註冊表中
上面的方法讓木馬著實舒服了一陣,既沒有人能找到它,又能自動運行,真是快哉!然而好景不長,人類很快就把它的馬腳揪了出來,並對它進行了嚴厲的懲罰!但是它還心有不甘,總結了失敗教訓后,認為上面的藏身之處很容易找,註冊表!的確註冊表由於比較複雜,木馬常常喜歡藏在這裡快活,趕快檢查一下,有什麼程序在其下,睜大眼睛仔細看了,別放過木馬:
HKEY_LOCAL_MACHINE\Software\Microsof\tWindows\CurrentVersion\ 下所有以“run”開頭的鍵值; HKEY_CURRENT_USER\Software\Microsof\tWindows\CurrentVersion\ 下所有以“run”開頭的鍵值; HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion\ 下所有以“run”開頭的鍵值。
6、在驅動程序中藏身
木馬真是無處不在呀!什麼地方有空子,它就往哪裡鑽!這不,Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。還是小心點,打開這個文件看看,它與正常文件有什麼不同,在該文件的[boot]欄位中,是不是有這樣的內容,那就是shell=Explorer.exe file.exe,如果確實有這樣的內容,那你就不幸了,因為這裡的file.exe就是木馬服務端程序!另外,在System.ini中的[386Enh]欄位,要注意檢查在此段內的“driver=路徑程序名”,這裡也有可能被木馬所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]這三個欄位,這些段也是起到載入驅動程序的作用,但也是增添木馬程序的好場所,你該知道也要注意這裡。
7、隱形於啟動組中
有時木馬並不在乎自己的行蹤,它更注意的是能否自動載入到系統中,因為一旦木馬載入到系統中,任你用什麼方法你都無法將它趕跑(哎,這木馬臉皮也真是太厚),因此按照這個邏輯,啟動組也是木馬可以藏身的好地方,因為這裡的確是自動載入運行的好場所。假設啟動組對應的文件夾為:
C:\windows\startmenu\programs\startup
在註冊表中的位置:
HKEY_CURRENT_USER\Softwar\eMicrosoft\Windows\ CurrentVersio\nExplorer\ShellFolders\Startup= “C:windows\startmenu\programs\startup”
要注意經常檢查啟動組。
8、在Winstart.bat中
按照上面的邏輯理論,凡是利於木馬能自動載入的地方,木馬都喜歡待。這不,Winstart.bat也是一個能自動被Windows載入運行的文件,它多數情況下為應用程序及Windows自動生成,在執行了Win. com並載入了多數驅動程序之後開始執行(這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由於Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被載入運行,危險由此而來。
9、捆綁在啟動文件中
即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將製作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。
10、設置在超級連接中
木馬的主人在網頁上放置惡意代碼,引誘用戶點擊,用戶點擊的結果不言而喻:開門揖盜!奉勸不要隨便點擊網頁上的鏈接,除非你了解它,信任它。
惡意程序破壞網站
頁面中的木馬主要指的就是利用網站建設的安全漏洞來竊取網站機密的工具。其通過執行嵌入在網頁HTML超文本標記語言內的Java Applet小應用程序,JavaScript腳本語言程序,ActiveX軟體部件網路交互技術支持可自動執行的代碼程序,以強行修改用戶操作系統的註冊表設置及系統實用配置程序,或非法控制系統資源盜取用戶文件,或惡意刪除硬碟文件、格式化硬碟為行為目標的非法惡意程序。這種非法惡意程序能夠得以被自動執行,在於它完全不受用戶的控制。一旦瀏覽含有該病毒的網頁,即可以在你不知不覺的情況下馬上中招,給用戶的系統帶來一般性的、輕度性的、嚴重惡性等不同程度的破壞。
下載存在漏洞
網站建設中一旦被發現有木馬的痕迹,主要原因就是在其它站點下載所致,目前國內的大多數中小網站都是從網路上下載的免費系統建成的,這些系統在設計的時候存在或多或少的安全漏洞,如動網和動易以前都存在過上傳漏洞,導致駭客可以上傳木馬至網站,輕易獲得管理許可權。同時Win2003本身也存在設計缺陷,如前段時間出現的新漏洞:“IIS6 目錄檢查漏洞”。
木馬病毒的傳播方式比較多,主要有:
(1)利用下載進行傳播,在下載的過程中進入程序,當下載完畢打開文件就將病毒植入到電腦中;
(2)利用系統漏洞進行傳播,當計算機存在漏洞,就成為木馬病毒攻擊的對象;
(3)利用郵件進行傳播,很多陌生郵件裡面就摻雜了病毒種子,一旦郵件被打開,病毒就被激活;
(4)利用遠程連接進行傳播;
(5)利用網頁進行傳播,在瀏覽網頁時會經常出現很多跳出來的頁面,這種頁面就是病毒駐紮的地方;
(6)利用蠕蟲病毒進行傳播等。
鑒於木馬病毒的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑制作用,這是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目的。
1、修改圖標
當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告訴你,這也有可能是個木馬程序,已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT,ZIP等各種文件的圖標,這有相當大的迷惑性,但是提供這種功能的木馬還不多見,並且這種偽裝也不是無懈可擊的,所以不必整天提心弔膽,疑神疑鬼的。
2、捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的情況下,偷偷的進入了系統。至於被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。
3、出錯顯示
有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序,木馬的設計者 木馬入侵 也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時,會彈出一個錯誤提示框(這當然是假的),錯誤內容可自由定義,大多會定製成一些諸如“文件已破壞,無法打開的!”之類的信息,當服務端用戶信以為真時,木馬卻悄悄侵入了系統。
4、定製埠
很多老式的木馬埠都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的埠就知道感染了什麼木馬,所以很多新式的木馬都加入了定製埠的功能,控制端用戶可以在1024-65535之間任選一個埠作為木馬埠(一般不選1024以下的埠),這樣就給判斷所感染木馬類型帶來了麻煩。
5、自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件后,木馬會將自己拷貝到WINDOWS的系統文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),一般來說原木馬文件和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麼中了木馬的朋友只要在收到的信件和下載的軟體中找到原木馬文件,然後根據原木馬的大小去系統文件夾找相同大小的文件,判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後,原木馬文件將自動銷毀,這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工具幫助下,就很難刪除木馬了。
6、木馬更名
安裝到系統文件夾中的木馬的文件名一般是固定的,那麼只要根據一些查殺木馬的文章,按圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼木馬。所以有很多木馬都允許控制端用戶自由定製安裝后的木馬文件名,這樣很難判斷所感染的木馬類型了。
因好萊塢大片《特洛伊》而一舉成名的“木馬”(Trojan),在網際網路時代讓無數網民深受其害。無論是“網購”、“網銀”還是“網游”的賬戶密碼,只要與錢有關的網路交易,都是當下木馬攻擊的重災區,用戶稍有不慎極有可能遭受重大錢財損失甚至隱私被竊。以下列舉一些案例。
“支付大盜”花錢上百度首頁。
2012年12月6日,一款名為“支付大盜”的新型網購木馬被發現。木馬網站利用百度排名機制偽裝為“阿里旺旺官網”,誘騙網友下載運行木馬,再暗中劫持受害者網上支付資金,把付款對象篡改為黑客賬戶。
“支付大盜”木馬出現在百度搜索結果首位
“新鬼影”借《江南Style》瘋傳。
火遍全球的《江南Style》很不幸被一種名為“新鬼影”的木馬盯上了。此木馬主要寄生在硬碟MBR(主引導扇區)中,如果用戶電腦沒有開啟安全軟體防護,中招后無論重裝系統還是格式化硬碟,都無法將其徹底清除乾淨。
“圖片大盜”最愛私密照。
絕大多數網民都有一個困惑,為什麼自己電腦中的私密照會莫名其妙的出現在網上。“圖片大盜”木馬運行後會全盤掃描搜集JPG、PNG格式圖片,並篩選大小在100KB到2MB之間的文件,暗中將其發送到黑客伺服器上,對受害者隱私造成嚴重危害。
“浮雲”木馬震驚全國。
盜取網民錢財高達千萬元的“浮雲”成為了2012年度震驚全國的木馬。首先誘騙網民支付一筆小額假訂單,卻在後台執行另外一個高額定單,用戶確認后,高額轉賬資金就會進入黑客的賬戶。該木馬可以對20多家銀行的網上交易系統實施盜竊
“黏蟲”木馬製造的虛假QQ登錄框
“QQ黏蟲”在2011年度就被業界評為十大高危木馬之一,2012年該木馬變種捲土重來,偽裝成QQ登錄框竊取用戶QQ帳號及密碼。值得警惕的是不法分子盜竊QQ后,除了竊取帳號關聯的虛擬財產外,還有可能假冒身份向被害者的親友借錢。
“怪魚”木馬襲擊微博。
2012年十一長假剛剛結束,一種名為“怪魚”的新型木馬開始肆虐網路。該木馬充分利用了新興的社交網路,在中招電腦上自動登錄受害者微博帳號,發布虛假中獎等釣魚網站鏈接,絕對是2012年最具欺騙性的釣魚攻擊方式之一。
“印表機木馬”瘋狂消耗紙張。
2012年6月,號稱史上最不環保的“印表機木馬”(Trojan.Milicenso)現身,美國、印度、北歐等地區大批企業電腦中招,導致數千台印表機瘋狂列印毫無意義的內容,直到耗完紙張或強行關閉印表機才會停止。
“網銀刺客”木馬暗算多家網銀。
2012年“3.15”期間大名鼎鼎的“網銀刺客”木馬開始大規模爆發,該木馬惡意利用某截圖軟體,把正當合法軟體作為自身保護傘,從而避開了不少殺毒軟體的監控。運行後會暗中劫持網銀支付資金,影響十餘家主流網上銀行。
“遙控彈窗機”木馬愛上偷菜。
“遙控彈窗機”是一款偽裝成“QQ農牧餐大師”等遊戲外掛的惡意木馬,運行後會劫持正常的QQ彈窗,不斷彈出大量低俗頁面及網購釣魚彈窗,並暗中與黑客伺服器連接,隨時獲取更新指令,使受害者面臨網路帳號被盜、個人隱私泄露的危險。
“Q幣木馬”元旦來襲。
新年曆來是木馬病毒活躍的高峰期,2012元旦爆發的“Q幣木馬”令不少網民深受其害。該木馬偽造“元旦五折充值Q幣”的虛假QQ彈窗,誘騙中招用戶在Q幣充值頁面上進行支付,充值對象則被木馬篡改為黑客的QQ號碼,相當於掏錢替黑客買Q幣。
2009年6月,深圳一起涉及3305萬元的福利彩票詐騙案成了社會關注的焦點,深圳市某技術公司軟體開發工程師程某,利用在深圳福彩中心實施技術合作項目的機會,通過木馬程序,攻擊了存儲福彩信息的資料庫,並進一步進行了篡改彩票中獎數據的惡意行為,以期達到其牟取非法利益的目的。
《藍色火焰木馬》是一種國產木馬,由於它沒有客戶端程序,所以黑客能很輕易地利用機器里幾乎所有和網路相關的程序來控制它,它的服務端程序是運行在Windows平台上的,本質上可以說是一個微型的Telent、FTP和Web伺服器程序,只要外部使用Telent、FTP和瀏覽器就能控制它了。
查找方法
運行了《藍色火焰木馬》服務端程序“bf_server.exe”,會在C:\WINDOWS\SYSTEM文件夾下生成三個木馬文件“tasksvc.exe”、“sysexpl.exe”、“bfhook.dll”,前兩個文件無論大小、圖標都和原木馬文件一模一樣;最後一個文件bfhook.dll為DLL文件,大小為18K。一般是利用19191埠,最新是10K的“微型版”,則使用9191埠連接。在MSDOS窗口下運行“netstat -a”命令即可,如果發現有19191或9191埠開放,就表示中了《藍色火焰》木馬。
清除方法
1、在“開始”菜單的“運行”中輸入Regedit,打開註冊表編輯器,進入:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,找到"Network Services"="C:\\WINDOWS\\SYSTEM\\tasksvc.exe",刪除串值Network Services及其鍵值。
2、HKEY_CLASSES_ROOTtxtfile\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command之下,將C:\WINDOWS\SYSTEM\sysexpl.exe %1中的“sysexpl.exe %1”更改為“NOTEPAD.exe %1”。
3.到C:\WINDOWS\SYSTEM下,將tasksvc.exe、sysexpl.exe、bfhook.dll這三個文件徹底刪除。
隨著DOS攻擊越來越廣泛的應用,被用作DOS攻擊的木馬也越來越流行起來。當你入侵了一台機器,給他種上DOS攻擊木馬,那麼日後這台計算機就成為你DOS攻擊的最得力助手了。你控制的肉雞數量越多,你發動DOS攻擊取得成功的機率就越大。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在攻擊者可以利用它來攻擊一台又一台計算機,給網路造成很大的傷害和帶來損失。還有一種類似DOS的木馬叫做郵件炸彈木馬,一旦機器被感染,木馬就會隨機生成各種各樣主題的信件,對特定的郵箱不停地發送郵件,一直到對方癱瘓、不能接受郵件為止。