1. 假装为图像文件一个最不合逻辑的方法,但却是最多人中招的方法,就是将特洛伊木马说成为图像文件。�o要入侵者假装成美女及更改服务器程序的文件名为"类似"图像文件的名称 (例如 pic.exe, eliane01.exe),再假装传送照片给受害者,受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是 exe,而木马程序的扩展名基本上又必定是 exe (注一),明眼人一看就会知道有问题。不过由于 Windows 预设是隐藏扩展名的关系,所以很多人都不会注意到扩展名这个问题。 另外也有一些入侵者会将木马程序的文件名更改为"pic.jpg.exe",若果计算机是设定为隐藏扩展名的话,就会显示为 pic.jpg,这样就会更容易的骗过受害者。
2. 假装为应用程序比较有经验的用家,都不会将图像文件和执行文件混淆,所以有些入侵者会索性直接的将木马程序说为应用程序,大家都是以 exe 作为扩展名麻。然后再以不同的手法欺骗受害者,例如说成是最新的玩戏,无所不能的骇客程序等等,务求受害者会立即执行它。由于木马程序执行后一般都没有任何表面反应,很多受害者都会以为是传送时档案坏了因而不再追究 。 再比较小心的用家,上述的方法可能会引起他们的怀疑,所以就衍生了一些合体程序。合体程序是可以将两个或以上的执行档 (exe�n) 结合为一个档案,以后�o需执行这个合体档案,两个执行档就会同时执行。若入侵者将一个正常的执行档 (一些小游戏如 kitty.exe) 和一个木马程序合体,由于执行合体档案时 kitty.exe 会正常执行,受害者都不会为意原来暗地里木马程序也同时执行了。后文会介绍到的合体程序有 saranwrap、silkrope、exejoiner、joiner 等等。
3. 以电子邮件传播的特洛伊木马早前十分肆虐的Happy99及Milisa,就是以这个模式传播。他们的工作模式是更改受害者的电子邮件发送系统。当受害者发出一封电邮时,同时暗地里会发送出多一封附有 Happy99 的电子邮件,由于邮件是由朋友寄来的,所以往往都不会提防及执行它。这个工作模式不断的循环,受害者将不计其数。 由于 Happy99 及 Milisa 也不是木入侵程序,执行它后都会有一定的反应,所以很快就被人发现。但若用于特洛伊木马,相信受害者会更加之多。
4. Z-file 伪装加密程序Z-file 伪装加密系统是华瞬科技的产品,可以将档案压缩加密后,再以 bmp 图档方式显示于人前 (扩展名是 bmp,执行后是一幅正常的图像)。这个软件本来�o是用来加密资料,就算计算机被入侵或被其它人使用时,也不容易发觉你的机密资料在那里。不过若用于骇客手中,却可变成一件入侵辅助工具。 入侵者会将木马程序和小游戏合体,再以 Z-file 加密及将 "伪装档" 传送给受害者,由于是图像文件的关系,受害者都会不以为然,执行后又�o是正常的照片,最神奇的地方就是连防毒软件也侦测不出它内藏特洛伊木马;甚至病毒!当受害者戒心下降时,再叫他用WinZip 解压及执行 "伪装档" (例如说还有一份小礼物送给他),这样就可以成功地安装了木马程序。 若入侵者有机会可以使用受害者的计算机 (例如是男/女朋友、上门维修员),�o要之前已经传送了"伪装档",则可以直接地用 Winzip 对"伪装档"进行解压及安装。由于是空着手使用计算机,受害者根本不会怀疑安装了甚么入他的计算机中,而且过程十分简短,一个洗手间时间已经足够。就算是在受害者面前执行这个工序,他也未必会知道入侵者正在做甚么。 还有,由于 "伪装档" 可以避过反病毒程序的侦测,若内含的是一触即发的病毒,一经解压,后果不堪设想。
5. 假装为应用程序延伸组件这是一种最难发现的特洛伊木马。入侵者会将木马程序写成为任何类型的档案 (例如 dll、ocx等) 及挂在一个十分出名的软件中,例如 icqplus (笔者就见过有人将木马程序加在 icqplus 身上)。由于 icqplus 本身已有一定的知名度,没有人会怀疑它的安全性,更不会有人检查它的档案多是否多了。每当受害者执行 icqplus 时,这个有问题的档案亦会同时执行。 这个方法比起用合体程序有一个更大的好处,就是不用更改受害者的登录档激活区,以后当受害者执行 icqplus 时木马程序就会同时执行 ,比起一般特洛伊木马更无迹可寻。而且 ,使用这类型手法的入侵者大多都是自己编写特洛伊木马,所以就连防毒软件都不能把它侦测出来。
|