特洛伊木马用来做什么_特洛伊木马程序员礼物

hacker|
162

“特洛伊木马”有什么历史典故啊?

特洛伊木马是木马屠城记里记载著的那只希腊军队用来攻破特洛伊城的大木马。而木马屠城记则是古希腊诗人 - 荷马,在其两部著作伊利亚特与奥德赛里所记载的特洛伊战争的一部份。木马屠城记一直被后人视为神话故事,直至十九世纪时,苏利曼 - 一位业余考古学者才证实木马屠城记真有此事。

战争起因

据荷马与希腊神话所载,这个故事的起因是源自一个金苹果。

这个故事的开端,就是忒提斯(Thetis)与珀琉斯(Peleus)的婚礼,原本宙斯与忒提斯相恋,但那时传说忒提斯的儿子(也就是未来的阿基里斯(Achilles))会比他的父亲还强大,宙斯害怕当年推翻他父亲的事重演,于是将她嫁给了著名英雄珀琉斯,避免影响他的政权。婚礼上邀请了很多神,唯独争吵女神没有被邀请。她很生气,便抛出一个金苹果,上面写“给最美丽者”。雅典娜,阿佛洛狄德和赫拉都宣称自己应该获得这个苹果。最后她们请求特洛伊王子帕里斯裁决。三个女神都贿赂帕里斯:雅典娜以天下第一聪明人作贿赂;赫拉以王位作贿赂;阿佛洛狄德以天下第一的美人作贿赂。最后帕里斯选择了阿佛洛狄德。作为回报,斯巴达王后,世界上最漂亮的女人海伦和他堕入爱河。在一次访问斯巴达的过程中,帕里斯绑架了海伦,把她带到特洛伊。帕里斯的行动惹怒了斯巴达国王,使其联合希腊各城邦向特洛伊宣战。

战争经过

斯巴达国王美内劳斯因为其太太海伦被帕里斯所带走,因此向希腊各城邦求助,共同出兵特洛伊。但特洛伊因为有亚马逊女战士和黎明女神儿子梅农的帮忙,与维纳斯暗中协助,所以能抵抗希腊联军。但因为雅典娜得不到金苹果,所以不愿放过特洛伊,而且指示奥德修斯向希腊联军献上木马屠城之计。 有一天,希腊联军突然撤退,并留下一只木马,特洛伊人将其当作战利品带回城内。在当天晚上,当特洛伊士兵为胜利而庆祝时,藏匿在木马中的希腊兵悄悄打开城门,将城外的军舰迎进,在一夜间消灭特洛伊城,城内男丁悉数被杀。

对其他地方的影响

据古罗马传说所载,就在特洛伊城城破之际,有一人在乱军中逃脱,并到达今天的意大利,成为罗马人的始祖。而在特洛伊战争后,东地中海成为希腊人的天下,并使为希腊人能够向小亚细亚殖民,这亦使东西方的文化有初步交流。

重新发掘

苏利曼因为自小对这神话感兴趣,并坚信荷马所著的这篇木马屠城记并不是凭空捏造,而是真实记载。因此他花了很多时间赚钱,在储足发掘所需的金钱后,开始著手研究特洛伊城所在地,最后终于在土耳其爱琴海畔挖出特洛伊古城,并在第六层考古地层证实与史实吻合。

关于此 特洛伊木马程序 已检测到: PWS-LegMir (特洛伊木马程序), PWS-LegMir (特洛伊木马程序)

特洛伊木马没有复制能力,它的特点是伪装成一个实用工具或者一个可爱的游戏,这会诱使用户将其安装在PC或者服务器上。

详解木马原理

特洛伊木马是如何启动的

作为一个优秀的木马,自启动功能是必不可少的,这样可以保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要,所以,很多编程人员都在不停地研究和探索新的自启动技术,并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中,用户执行该程序时,则木马自动发生作用。当然,更加普遍的方法是通过修改Windows系统文件和注册表达到目的,现经常用的方法主要有以下几种:

1.在Win.ini中启动

在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了,这个file.exe很可能是木马哦。

2.在System.ini中启动

System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!

另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。

3.利用注册表加载运行

如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。

4.在Autoexec.bat和Config.sys中加载运行

请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。

5.在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加截了多数驱动程序之后

开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。

等一系列……………………

木马的隐藏方式

1.在任务栏里隐藏

这是最基本的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标,傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以VB为例。在VB中,只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。

2.在任务管理器里隐藏

查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。如果你按下Ctrl+Alt+Del后可以看见一个木马程序在运行,那么这肯定不是什么好木马。所以,木马会千方百计地伪装自己,使自己不出现在任务管理器里。木马发现把自己设为 "系统服务“就可以轻松地骗过去。

因此,希望通过按Ctrl+Alt+Del发现木马是不大现实的。

3.端口

一台机器有65536个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势;当然也有占用1024以下端口的木马,但这些端口是常用端口,占用这些端口可能会造成系统不正常,这样的话,木马就会很容易暴露。也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描65536个端口么?

4.隐藏通讯

隐藏通讯也是木马经常采用的手段之一。任何木马运行后都要和攻击者进行通讯连接,或者通过即时连接,如攻击者通过客户端直接接人被植人木马的主机;或者通过间接通讯。如通过电子邮件的方式,木马把侵入主机的敏感信息送给攻击者。现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口,如80、23,有一种非常先进的木马还可以做到在占领80HTTP端口后,收到正常的HTTP请求仍然把它交与Web服务器处理,只有收到一些特殊约定的数据包后,才调用木马程序。

5.隐藏隐加载方式

木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。如果木马不做任何伪装,就告诉你这是木马,你会运行它才怪呢。而随着网站互动化避程的不断进步,越来越多的东西可以成为木马的传播介质,Java Script、VBScript、ActiveX.XLM....几乎WWW每一个新功能部会导致木马的快速进化。

6.最新隐身技术

在Win9x时代,简单地注册为系统进程就可以从任务栏中消失,可是在Windows2000盛行的今天。这种方法遭到了惨败。注册为系统进程不仅仅能在任务栏中看到,而且可以直接在Services中直接控制停止。运行(太搞笑了,木马被客户端控制)。使用隐藏窗体或控制台的方法也不能欺骗无所不见的Admlin大人(要知道,在NT下,Administrator是可以看见所有进程的)。在研究了其他软件的长处之后,木马发现,Windows下的中文汉化软件采用的陷阱技术非常适合木马的使用。。

QUOTE:

特洛伊木马具有的特性

1.包含干正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下,完成一些危害用户的操作,具有隐蔽性

由于木马所从事的是 "地下工作",因此它必须隐藏起来,它会想尽一切办法不让你发现它。很多人对木马和远程控制软件有点分不清,还是让我们举个例子来说吧。我们进行局域网间通讯的常用软件PCanywhere大家一定不陌生吧?我们都知道它是一款远程控制软件。PCanywhere比在服务器端运行时,客户端与服务器端连接成功后,客户端机上会出现很醒目的提示标志;而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能出现任何明显的标志。木马开发者早就想到了可能暴露木马踪迹的问题,把它们隐藏起来了。例如大家所熟悉木马修改注册表和而文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其他程序之中。有些木马把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程序,可以让人在使用绑定的程序时,木马也入侵了系统。甚至有个别木马程序能把它自身的exe文件和服务端的图片文件绑定,在你看图片的时候,木马便侵人了你的系统。它的隐蔽性主要体现在以下两个方面:

(1)不产生图标

木马虽然在你系统启动时会自动运行,但它不会在 "任务栏"中产生一个图标,这是容易理解的,不然的话,你看到任务栏中出现一个来历不明的图标,你不起疑心才怪呢!

(2)木马程序自动在任务管理器中隐藏,并以"系统服务"的方式欺骗操作系统。

2.具有自动运行性。

木马为了控制服务端。它必须在系统启动时即跟随启动,所以它必须潜人在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3.包含具有未公开并且可能产生危险后果的功能的程序。

4.具备自动恢复功能。

现在很多的木马程序中的功能模块巴不再由单一的文件组成,而是具有多重备份,可以相互恢复。当你删除了其中的一个,以为万事大吉又运行了其他程序的时候,谁知它又悄然出现。像幽灵一样,防不胜防。

5.能自动打开特别的端口。

木马程序潜人你的电脑之中的目的主要不是为了破坏你的系统,而是为了获取你的系统中有用的信息,当你上网时能与远端客户进行通讯,这样木马程序就会用服务器客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施进一步的入侵企图。你知道你的电脑有多少个端口?不知道吧?告诉你别吓着:根据TCP/IP协议,每台电脑可以有256乘以256个端口,也即从0到65535号 "门",但我们常用的只有少数几个,木马经常利用我们不大用的这些端口进行连接,大开方便之 "门"。

6、功能的特殊性。

通常的木马功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。上面所讲的远程控制软件当然不会有这些功能,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。

QUOTE:

木马采用的伪装方法

1.修改图标

木马服务端所用的图标也是有讲究的,木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标,这样很容易诱惑你把它打开。看看,木马是不是很狡猾?

2.捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。被捆绑的文件一般是可执行文件 (即EXE、COM一类的文件)。

3.出错显示

有一定木马知识的人部知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序。木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框 (这当然是假的),错误内容可自由定义,大多会定制成一些诸如 "文件已破坏,无法打开!"之类的信息,当服务端用户信以为真时,木马却悄悄侵人了系统。

4.自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道,当服务端用户打开含有木马的文件后,木马会将自己拷贝到Windows的系统文件夹中(C;\wmdows或C:\windows\system目录下),一般来说,源木马文件和系统文件夹中的木马文件的大小是一样的 (捆绑文件的木马除外),那么,中了木马的朋友只要在近来收到的信件和下载的软件中找到源木马文件,然后根据源木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,源木马文件自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下。就很难删除木马了。

5.木马更名

木马服务端程序的命名也有很大的学问。如果不做任何修改,就使用原来的名字,谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪,不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。例如有的木马把名字改为window.exe,如果不告诉你这是木马的话,你敢删除吗?还有的就是更改一些后缀名,比如把dll改为dl等,不仔细看的,你会发现吗?

木马的种类

1、破坏型

惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件。

2、密码发送型

可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。

在这里提醒一下,不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中,那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口(包括控件)进行遍历,通过窗口标题查找密码输入和出确认重新输入窗口,通过按钮标题查找我们应该单击的按钮,通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码,向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中,把密码保存在一个文件中,以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举,直到找到密码为止。此类程序在黑客网站上唾手可得,精通程序设计的人,完全可以自编一个。

3、远程访问型

最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的操作。

程序中用的UDP(User Datagram Protocol,用户报文协议)是因特网上广泛采用的通信协议之一。与TCP协议不同,它是一种非连接的传输协议,没有确认机制,可靠性不如TCP,但它的效率却比TCP高,用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端,只区分发送端和接收端,编程上较为简单,故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。

4.键盘记录木马

这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验,这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项,顾名思义,它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键,下木马的人都知道,从这些按键中他很容易就会得到你的密码等有用信息,甚至是你的信用卡账号哦!当然,对于这种类型的木马,邮件发送功能也是必不可少的。

5.DoS攻击木马

随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。

还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。

6.代理木马

黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。

7.FTP木马

这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进入对方计算机。

8.程序杀手木马

上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用。

9.反弹端口型木马

木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。

QUOTE:

中木马后出现的状况

对于一些常见的木马,如SUB7、BO2000、冰河等等,它们都是采用打开TCP端口监听和写人注册表启动等方式,使用木马克星之类的软件可以检测到这些木马,这些检测木马的软件大多都是利用检测TCP连结、注册表等信息来判断是否有木马入侵,因此我们也可以通过手工来侦测木马。

也许你会对硬盘空间莫名其妙减少500M感到习以为常,这的确算不了什么,天知道Windows的临时文件和那些乌七八糟的游戏吞噬了自己多少硬盘空间。可是,还是有一些现象会让你感到警觉,一旦你觉得你自己的电脑感染了木马,你应该马上用杀毒软件检查一下自己的计算机,然后不管结果如何,就算是Norton告诉你,你的机器没有木马,你也应该再亲自作一次更深入的调查,确保自己机器安全。经常关注新的和出名的木马的特性报告,这将对你诊断自己的计算机问题很有帮助。

(1)当你浏览一个网站,弹出来一些广告窗口是很正常的事情,可是如果你根本没有打开浏览器,而览浏器突然自己打开,并且进入某个网站,那么,你要小心。

(2)你正在操作电脑,突然一个警告框或者是询问框弹出来,问一些你从来没有在电脑上接触过的间题。

(3)你的Windows系统配置老是自动莫名其妙地被更改。比如屏保显示的文字,时间和日期,声音大小,鼠标灵敏度,还有CD-ROM的自动运行配置。

(4)硬盘老没缘由地读盘,软驱灯经常自己亮起,网络连接及鼠标屏幕出现异常现象。

这时,最简单的方法就是使用netstat-a命令查看。你可以通过这个命令发现所有网络连接,如果这时有攻击者通过木马连接,你可以通过这些信息发现异常。通过端口扫描的方法也可以发现一些弱智的木马,特别是一些早期的木马,它们捆绑的端口不能更改,通过扫描这些固定的端口也可以发现木马是否被植入。

当然,没有上面的种种现象并不代表你就绝对安全。有些人攻击你的机器不过是想寻找一个跳板。做更重要的事情;可是有些人攻击你的计算机纯粹是为了好玩。对于纯粹处于好玩目的的攻击者,你可以很容易地发现攻击的痕迹;对于那些隐藏得很深,并且想把你的机器变成一台他可以长期使用的肉鸡的黑客们,你的检查工作将变得异常艰苦并且需要你对入侵和木马有超人的敏感度,而这些能力,都是在平常的电脑使用过程日积月累而成的。

我们还可以通过软件来检查系统进程来发现木马。如利用进程管理软件来查看进程,如果发现可疑进程就杀死它。那么,如何知道哪个进程是可疑的呢?教你一个笨方法,有以下进程绝对是正常的:EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE(如果打开了IE),而出现了其他的、你没有运行的程序的进程就很可疑了。一句话,具体情况具体分析。

QUOTE:

被感染后的紧急措施

如果不幸你的计算机已经被木马光临过了,你的系统文件被黑客改得一塌糊涂,硬盘上稀里糊涂得多出来一大堆乱七八糟的文件,很多重要的数据也可能被黑客窃取。这里给你提供3条建议,希望可以帮助你:

(1)所有的账号和密码都要马上更改,例如拨号连接,ICQ,mIRC,FTP,你的个人站点,免费邮箱等等,凡是需要密码的地方,你都要把密码尽快改过来。

(2)删掉所有你硬盘上原来没有的东西。

(4)检查一次硬盘上是否有病毒存在 。

木马技术篇

这里就不介绍木马是如何写成的了,毕竟大多数网友不会去编写什么木马,也没有足够的知识和能力来编写,包括我自己:)

QUOTE:

黑客是如何骗取你执行木马的

1、冒充为图像文件

首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用 。

只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称 ,再假装传送照片给受害者,受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是 exe,而木马程序的扩展名基本上又必定是 exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把文件名改变,例如把“sam.exe” 更改为“sam.jpg” ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为windows 默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好你的计算机又是设定为隐藏扩展名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了!

还有一个问题就是,木马本身是没有图标的,而在电脑中它会显示一个windows 预设的图标,别人一看便会知道了!但入侵者还是有办法的,这就是给文件换个“马甲”,即修改文件图标。

2、合并程序欺骗

通常有经验的用户,是不会将图像文件和可执行文件混淆的,所以很多入侵者一不做二不休,干脆将木马程序说成是应用程序:反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者,例如说成是新出炉的游戏,无所不能的黑客程序等等,目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的,于是在悄无声息中,很多受害者便以为是传送时文件损坏了而不再理会它。

如果有更小心的用户,上面的方法有可能会使他们的产生坏疑,所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件,以后只需执行这个合拼文件,两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼,由于执行合拼文件时 wrap.exe会正常执行,受害者在不知情中,背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner,由于它具有更大的欺骗性,使得安装特洛伊木马的一举一动了无痕迹,是一件相当危险的黑客工具。让我们来看一下它是如何运作的:

以往有不少可以把两个程序合拼的软件为黑客所使用,但其中大多都已被各大防毒软件列作病毒了,而且它们有两个突出的问题存在,这问题就是:

(1)合拼后的文件体积过大

(2)只能合拼两个执行文件

正因为如此,黑客们纷纷弃之转而使用一个更简单而功能更强的软件,那就是Joiner 了。此软件不但把软件合拼后的体积减少,而且可以待使用者执行后立马就能收到一个icq 的信息,告诉你对方已中招及对方的IP ,更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼,用起来相当方便。

首先把Joiner 解压,然后执行Joiner ,在程序的画面里,有“First executable : ”及“ Second File : ”两项,这两行的右方都有一个文件夹图标,分别各自选择想合拼的文件。

下面还有一个Enable ICQ notification 的空格,如果选取后,当对方执行了文件时,便会收到对方的一个ICQ Web Messgaer ,里面会有对方的ip ,当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后,合拼后的文件会比较大。

最后便按下“Join” ,在Joiner 的文件夹里,便会出现一个Result.exe 的文件,文件可更改名称,因而这种“混合体”的隐蔽性是不言而喻的。

3、以Z-file 伪装加密程序

Z-file 伪装加密软件是台湾华顺科技的产品,其经过将文件压缩加密之后,再以 bmp图像文件格式显示出来(扩展名是 bmp,执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据,用以就算计算机被入侵或被非法使使用时,也不容易泄漏你的机密数据所在。不过如果到了黑客手中,却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼,再用 Z-file 加密及将 此“混合体”发给受害者,由于看上去是图像文件,受害者往往都不以为然,打开后又只是一般的图片,最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马,甚至病毒!当打消了受害者警惕性后,再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他),这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑),只要事先已经发出了“混合体,则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑,受害者根本不会怀疑有什么植入他的计算机中,而且时间并不长,30秒时间已经足够。就算是“明晃晃”地在受害者面前操作,他也不见得会看出这一双黑手正在干什么。特别值得一提的是,由于 “混合体” 可以躲过反病毒程序的检测,如果其中内含的是一触即发的病毒,那么一经结开压缩,后果将是不堪设想。

4、伪装成应用程序扩展组件

此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中,例如 OICQ 。由于OICQ本身已有一定的知名度,没有人会怀疑它的安全性,更不会有人检查它的文件多是否多了。而当受害者打开OICQ时,这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开OICQ时木马程序就会同步运行 ,相较一般特洛伊木马可说是“踏雪无痕”。更要命的是,此类入侵者大多也是特洛伊木马编写者,只要稍加改动,就会派生出一支新木马来,所以即使杀是毒软件也拿它没有丝毫办法。

特洛伊木马的寓意

公元前2000年前后,在巴尔干半岛、爱琴海诸岛和小亚细亚沿岸,曾有过一个古老的文明,他留给人类的重要文化遗产就是希腊神话。希腊神话由神的故事和英雄传说组成,反映了当时人对各种自然现象的认识和想象,记录并神化了远古的历史事件。在这类历史事件中,最重要的一件是发生于大约公元前13(或12)世纪的特洛伊战争。幸好,关于这场战争的神话,被公元前9、8世纪之间的盲歌手荷马(图1)以史诗的形式记录了下来。现在,我们许多人都知道“特洛伊木马” 这个西方典故,它的意思是指用计谋从内部战胜对手。现在,让我们用邮票把特洛伊木马的故事大略地讲述一下,但这只是一个神话。

众神之王宙斯(图2)住在奥林波斯山上,他的妻子是神后赫拉(图3)。有一次赫拉安排了一场盛宴,只有不和女神埃里斯没有被邀请。在宴会进行中,埃里斯突然出现,她向众神投掷了一只金苹果.上面刻写着“给最美丽者”。神后赫拉、智慧女神雅典娜(图4)和爱与美女神维纳斯(图5)都认为自己是最美丽的,应该得到那只苹果。为了解决这个棘手的难题,宙斯叫三位女神去找特洛伊国王的小儿子帕里斯。他以英俊漂亮而知名。三位女神都试图以自己的魅力影响帕里斯的裁判,其中维纳斯答应让他得到最美貌的女人为妻子,结果帕里斯把金苹果判给了维纳斯,他也因此得罪了赫拉和雅典娜。

当时希腊各部族也很强大,他们分成若干王国,总称阿凯亚人,以边锡尼王阿伽门农为首。他的弟弟斯巴达王墨涅拉奥斯的妻子海伦非常漂亮。帕里斯在维纳斯的帮助下把海伦骗到手,跟他私奔到了特洛伊国的王城伊利昂城。阿凯亚人非常气愤,组成了讨伐大军,由阿伽门农率领。许多希腊英雄(图6)如阿基琉斯、帕特罗克洛斯和奥德修斯等参加了这次讨伐。一千多艘战舰组成的庞大舰队三周后到达了特洛伊海岸。

阿基琉斯是希腊人中最勇猛的英雄,他是海的女神忒提斯的儿子(图7)。他出生时母亲抓着他的脚跟,把他浸入河水中,使他刀枪不入,只有没浸到河水的脚跟是他致命的弱点。阿基琉斯率军迫使特洛伊人退入伊利昂城中固守。该城被包围了九年。到了第十年,阿伽门农因抢了阿基琉斯手中的一个女俘,使阿基琉斯愤而退出战斗。失去了最勇猛将领的希腊人,抵挡不住特洛伊主将赫克托尔的反攻。赫克托尔是特洛伊老王普里阿摩斯的长子。阿基琉斯虽然拒不出战。但是把自己的盔甲借给了密友帕特罗克洛斯,让他装扮成自己率军投入战斗。特洛伊人没有被骗,帕特罗克洛斯被赫克托尔所杀。阿基琉斯听到自己的密友战死之后,决定重新加入战斗,为帕特罗克洛斯报仇。他向赫克托尔挑战,并杀死了他。他把赫克托尔的尸体拴在自己的战车之后,日复一日地绕着伊利昂城叫战。一天夜里,年老的特洛伊老王来到阿基琉斯的营帐,谦卑地祈求阿基琉斯归还儿子的尸体(图8)。阿基琉斯出于对这老人的同情,把尸体归还了他。后来,赫克托尔的弟弟帕里斯朝阿基琉斯射出一支毒箭,此箭在太阳神阿波罗(图9)的导引下,正中阿基琉斯的脚跟,他被杀死。

伊利昂城还是久攻不下。后来足智多谋的英雄奥德修斯想出了一个主意,制造一匹巨大的木马(图10)。奥德修斯和他挑选的30名勇士隐藏在中空的马腹中。希腊人把这匹木马放到伊利昂城前面的海滩上,同时作装撤退,但没有走远。奥德修斯的一个堂兄弟西农,扮成乞丐留了下来。他使特洛伊人相信,那匹木马是众神送给伊利昂城的礼物劝说他们把木马运进城去。特洛伊人欢喜若狂,大开城门,把木马拉进城去(图11)。那天夜里,西农给希腊大军发了信号。同时马腹中的勇士杀了出来,打开城门,让希腊大军进城。一场混战之后,许多特洛伊人被杀或自杀,伊利昂城被烧毁并被夷为平地。斯巴达王也夺回了他的漂亮的妻子海伦。

出其不意的战争:特洛伊木马的故事

特洛伊木马的故事源自古希腊传说,介绍的是希腊联军围困特洛伊9年久攻不下,于是假装撤退,留下一具巨大的中空木马,特洛伊守军中计后沦陷。那么具体故事情节是什么呢?一起到 外国历史故事 中看看吧。

大约在公元前13世纪,特洛伊王子帕里斯来到希腊斯巴达王墨涅拉俄斯的皇宫作客,受到了麦尼劳斯的盛情款待,但是,帕里斯却拐走了麦尼劳斯的妻子海伦。麦尼劳斯和他的兄弟阿伽门农决定讨伐特洛伊,希腊人和特洛伊人之间发的战争开始了。

希腊人联合起来攻打特洛伊城,但特洛伊城是个十分坚固的城市,希腊人攻打了9年也没有打下来。

第10年的一天早晨,希腊联军的战舰突然扬帆离去,平时喧闹的战场变得寂静无声。特洛伊人以为希腊人撤军回国了,他们跑到城外,发现海滩上留有一个巨大的木马。特洛伊人惊讶地围住木马,不知道这木马是干什么用的。

一个被他们捕获的希腊人告诉特洛伊人,这个木马是希腊人用来祭祀雅典娜女神的。他还说,希腊人担心特洛伊人把木马拉进城,会给他们的国家带来好运,所以特意把木马做得很大,这样,特洛伊人就无法把木马拉进城了。

特洛伊人听后,赶紧把木马往城里拉。不过,这个木马实在太大了,特洛伊人只好把城墙拆开了一段,才把它拉进城中。

当天晚上,特洛伊人欢天喜地庆祝胜利。想不到,木马中居然藏有全副武装的希腊战士。他们从木马里出来,悄悄地摸向城门,杀死了睡梦中的守军,迅速打开了城门,并在城里到处点火。隐藏在附近的希腊军队如潮水般涌进特洛伊城。特洛伊人苦苦守城十年,终于因为一个木马而失败;特洛伊城被抢掠一空,烧成灰烬。

从此,“当心希腊人造的礼物”这一名言在世界各地流传开来,它提醒人们要警惕和防止被对手钻进自己的心脏。

“特洛伊木马”成了“挖心战”的同义语,比喻打进对手心脏的战术。所以,有人将那些会将自己伪装成某种应用程序来吸引使用者下载或执行,并进而破坏使用者电脑资料或窃取其他信息的程序,成为“特洛伊木马”病毒。

0条大神的评论

发表评论