木马传播 (1)传播方式 木马的传播方式主要有两种!:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去, 收件人只要打开附系统就会感染木马:另一种是软件下载,一些非正规的网站一提供软件下载为名义,见木马 捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装! (2)伪装方式 鉴于木马的危害性,很多人对木马知识还是有一定的了解的,这对木马的传播起了一定 的抑制作用,这是木马设计者不愿看到的,因此他们开发了多种功能来伪装木马,以达到 降低用户警觉,欺骗用户的目的,一般来说有以下几种: [1]修改图标 也许你会在E-MAIL的附件中看到一个很平常的文本图标,但是我告书你,这也有可能 是个木马程序,现在已经有木马可以将木马服务器端的图标!改成html,txt,zip,winnamp 等各种图标,这有相当大的迷惑性! [2]捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉 的情况下,偷偷的进入了系统可以捆绑的文件一般是可执行文件( exe,com等) [3]出错显示 有一定木马知识的人都知道,如果打开一个文件没有任何反映,这很可能是个木马程序, 木马的设计者也意识到了这个问题,所以已经有木马提供了一个叫做出错显示的功能! 当服务器端打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可以自己定义 大多会定制成一些"文件以破坏,无法打开的!"之类的信息,当服务端用户认为真时, 木马却悄悄进入了系统. [4]定制端口 很多老式的木马端口是固定的,这给判断是否感染了木马带来了方便只要查一下特定的 端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能, 控制端用户可以在1024-65535之间任选一个作为木马的端口,这样个判断带来了麻烦! [5]自我销毁 我们知道当服务器端用户打开含有木马的文件后,木马回将自己拷贝到WINDOWS 的系统 文件夹下,一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑除外) 可以很容易找到它.但是木马的自我销毁功能是指安装完木马后,原文件会自动销毁,这样 服务端就很难找到木马的来源,在没有查杀工具的帮助下,清除它就很难了. [6]木马更名 安装到系统文件夹的木马文件名一般是固定的,那么只要根据一些查杀木马的文章,按图 索骥在系统文件夹查找特定的文件,就可以断定中了什么木马.所以现在有很多木马都 允许控制端用户自由定制安装后的木马文件名,这样就很难判断所感染的木马类型了! 以上是供各位网络用户参考- 萧洒-00-12-29 emaiL:xk518@etang.com 主页:http://xk518.myetang.com
|