木马传播
(1)传播方式
木马的传播方式主要有两种!:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,
收件人只要打开附系统就会感染木马:另一种是软件下载,一些非正规的网站一提供软件下载为名义,见木马
捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装!
(2)伪装方式
鉴于木马的危害性,很多人对木马知识还是有一定的了解的,这对木马的传播起了一定
的抑制作用,这是木马设计者不愿看到的,因此他们开发了多种功能来伪装木马,以达到
降低用户警觉,欺骗用户的目的,一般来说有以下几种:
[1]修改图标
也许你会在E-MAIL的附件中看到一个很平常的文本图标,但是我告书你,这也有可能
是个木马程序,现在已经有木马可以将木马服务器端的图标!改成html,txt,zip,winnamp
等各种图标,这有相当大的迷惑性!
[2]捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉
的情况下,偷偷的进入了系统可以捆绑的文件一般是可执行文件( exe,com等)
[3]出错显示
有一定木马知识的人都知道,如果打开一个文件没有任何反映,这很可能是个木马程序,
木马的设计者也意识到了这个问题,所以已经有木马提供了一个叫做出错显示的功能!
当服务器端打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可以自己定义
大多会定制成一些"文件以破坏,无法打开的!"之类的信息,当服务端用户认为真时,
木马却悄悄进入了系统.
[4]定制端口
很多老式的木马端口是固定的,这给判断是否感染了木马带来了方便只要查一下特定的
端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,
控制端用户可以在1024-65535之间任选一个作为木马的端口,这样个判断带来了麻烦!
[5]自我销毁
我们知道当服务器端用户打开含有木马的文件后,木马回将自己拷贝到WINDOWS 的系统
文件夹下,一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑除外)
可以很容易找到它.但是木马的自我销毁功能是指安装完木马后,原文件会自动销毁,这样
服务端就很难找到木马的来源,在没有查杀工具的帮助下,清除它就很难了.
[6]木马更名
安装到系统文件夹的木马文件名一般是固定的,那么只要根据一些查杀木马的文章,按图
索骥在系统文件夹查找特定的文件,就可以断定中了什么木马.所以现在有很多木马都
允许控制端用户自由定制安装后的木马文件名,这样就很难判断所感染的木马类型了!
以上是供各位网络用户参考-
萧洒-00-12-29
emaiL:xk518@etang.com
主页:http://xk518.myetang.com
|
适于打印的主题视图