【3.A.S.T】网络安全爱好者's Archiver

黑客学习

柔肠寸断 发表于 2008-7-3 21:40

黑客是如何骗取你执行木马的

黑客是如何骗取你执行木马的如今大多数上网的朋友警惕性都很高,想骗取他们执行木马是件很困难的事,因为木马出现这么久,木马两个字听得人们耳朵都长出了老茧,可说是谈“马”色变,即使不是电脑高手都知道,一见到是exe 文件便不会轻易“招惹”它,因而中标的机会也就相对减少了。对于此,黑客们是不会甘于寂寞的,在黑客的世界里挑战与刺激才是他们趋之若婺的。    
       [b]1、冒充为图像文件 [/b]
  首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用 。  
  只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称 ,再假装传送照片给受害者,受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是 exe,而木马程序的扩展名基本上又必定是 exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把文件名改变,例如把“sam.exe” 更改为“sam.jpg” ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为[url=http://bbs.wopti.net/doc.php?action=view&title=windows][color=#0000ff]windows[/color][/url] 默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好你的计算机又是设定为隐藏扩展名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了!
       还有一个问题就是,木马本身是没有图标的,而在电脑中它会显示一个windows 预设的图标,别人一看便会知道了!但入侵者还是有办法的,这就是给文件换个“马甲”,即修改文件图标。  

  修改文件图标的方法如下:  
  (1)比如到[size=2][color=#000000]http://www.mydown.com[/color][/size] 下载一个名为IconForge 的软件,再进行安装。
  (2)执行程序,按下File > Open
  (3)在File Type 选择exe 类
  (4)在File > Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作,也可以在网上找找) 。
  (5)然后按下File > Save 便可以了。
  如此这般最后得出的,便是看似jpg 或其他图片格式的木马了,很多人就会不经意间执行了它。  
  [b]2、合并程序欺骗 [/b]
  通常有经验的用户,是不会将图像文件和可执行文件混淆的,所以很多入侵者一不做二不休,干脆将木马程序说成是应用程序:反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者,例如说成是新出炉的游戏,无所不能的黑客程序等等,目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的,于是在悄无声息中,很多受害者便以为是传送时文件损坏了而不再理会它。
  如果有更小心的用户,上面的方法有可能会使他们的产生坏疑,所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件,以后祇需执行这个合拼文件,两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼,由于执行合拼文件时 wrap.exe会正常执行,受害者在不知情中,背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner,由于它具有更大的欺骗性,使得安装特洛伊木马的一举一动了无痕迹,是一件相当危险的黑客工具。让我们来看一下它是如何运作的:  

        以往有不少可以把两个程序合拼的软件为黑客所使用,但其中大多都已被各大防毒软件列作病毒了,而且它们有两个突出的问题存在,这问题就是:

  (1)合拼后的文件体积过大
  (2)只能合拼两个执行文件  
  正因为如此,黑客们纷纷弃之转而使用一个更简单而功能更强的软件,那就是Joiner 了。此软件不但把软件合拼后的体积减少,而且可以待使用者执行后立马就能收到一个icq 的信息,告诉你对方已中招及对方的IP ,更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼,用起来相当方便。  
  首先把Joiner 解压,然后执行Joiner ,在程序的画面里,有“First executable : ”及“ Second File : ”两项,这两行的右方都有一个文件夹图标,分别各自选择想合拼的文件。
  下面还有一个Enable ICQ notification 的空格,如果选取后,当对方执行了文件时,便会收到对方的一个ICQ Web Messgaer ,里面会有对方的ip ,当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后,合拼后的文件会比较大。  
  最后便按下“Join” ,在Joiner 的文件夹里,便会出现一个Result.exe 的文件,文件可更改名称,因而这种“混合体”的隐蔽性是不言而喻的。  
  [b]3、以Z-file 伪装加密程序 [/b]
  Z-file 伪装加密软件是台湾华顺科技的产品,其经过将文件压缩加密之后,再以 bmp图像文件格式显示出来(扩展名是 bmp,执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据,用以就算计算机被入侵或被非法使使用时,也不容易泄漏你的机密数据所在。不过如果到了黑客手中,却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼,再用 Z-file 加密及将 此“混合体”发给受害者,由于看上去是图像文件,受害者往往都不以为然,打开后又只是一般的图片,最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马,甚至病毒!当打消了受害者警惕性后,再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他),这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑),只要事先已经发出了“混合体,则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑,受害者根本不会怀疑有什么植入他的计算机中,而且时间并不长,30秒时间已经足够。就算是“明晃晃”地在受害者面前操作,他也不见得会看出这一双黑手正在干什么。特别值得一提的是,由于 “混合体” 可以躲过反病毒程序的检测,如果其中内含的是一触即发的病毒,那么一经结开压缩,后果将是不堪设想。  
  [b]4、伪装成应用程序扩展组件 [/b]
  此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中,例如 OICQ 。由于OICQ本身已有一定的知名度,没有人会怀疑它的安全性,更不会有人检查它的文件多是否多了。而当受害者打开OICQ时,这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开OICQ时木马程序就会同步运行 ,相较一般特洛伊木马可说是“踏雪无痕”。更要命的是,此类入侵者大多也是特洛伊木马编写者,只要稍加改动,就会派生出一支新木马来,所以即使杀是毒软件也拿它没有丝毫办法。

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.