木马的伪装欺骗方法详解
如今大多数上网的朋友警惕性都很高,想骗他们执行木马是件很困难的事。即使电脑菜鸟都知道一见到exe 档案便不会轻易“招惹”它,因而中标的机会也就相对减少了。但黑客们是不会甘于寂寞的,所以就出现了很多更容易让人上当的木马伪装手段。本文介绍一些常见的木马伪装手段,希望对大家有所帮助。
1、将木马包装为影象档案
首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为影象档案,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用 。
只要入侵者扮成美眉及更改伺服器程式的档名例如 sam.exe 为“类似”影象档案的名称 ,再假装传送照片给受害者,受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?影象档案的副档名根本就不可能是 exe,而木马程式的副档名基本上又必定是 exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe档案,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把档名改变,例如把“sam.exe” 更改为“sam.jpg” ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为windows 预设值是不显示副档名的,所以很多人都不会注意到副档名这个问题,而恰好你的计算机又是设定为隐藏副档名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了!
还有一个问题就是,木马本身是没有图示的,而在电脑中它会显示一个windows 预设的图示,别人一看便会知道了!但入侵者还是有办法的,这就是给档案换个“马甲”,即用IconForge等图示档案修改档案图示,这样木马就被包装成 jpg 或其他图片格式的木马了,很多人会不经意间执行了它。
2、合并程式欺骗
通常有经验的使用者,是不会将影象档案和可执行档案混淆的,所以很多入侵者一不做二不休,干脆将木马程式说成是应用程式:反正都是以exe 作为副档名的。然后再变着花样欺骗受害者,例如说成是新出炉的游戏,无所不能的黑客程式等等,目地是让受害者立刻执行它。而木马程式执行后一般是没有任何反应的,于是在悄无声息中,很多受害者便以为是传送时档案损坏了而不再理会它。
如果有更小心的使用者,上面的方法有可能会使他们的产生坏疑,所以就衍生了一些合并程式。合并程式是可以将两个或以上的可执行档案exe档案 结合为一个档案,以后一旦执行这个合并档案,两个可执行档案就会同时执行。如果入侵者将一个正常的可执行档案一些小游戏如 wrap.exe 和一个木马程式合并,由于执行合并档案时 wrap.exe会正常执行,受害者在不知情中,背地里木马程式也同时执行了。而这其中最常用到的软体就是joiner,由于它具有更大的欺骗性,使得安装特洛伊木马的一举一动了无痕迹,是一件相当危险的黑客工具。
以往有不少可以把两个程式合并的软体为黑客所使用,但其中大多都已被各大防毒软体列作病毒了,而且它们有两个突出的问题存在,这问题就是:合并后的档案体积过大,只能合并两个执行档案。
正因为如此,黑客们纷纷弃之转而使用一个更简单而功能更强的软体,那就是Joiner,这个软体可以把影象档案、音讯档案与可执行档案合并,还能减小合并后文件体积,而且可以待使用者执行后立即收到资讯,告诉你对方已中招及对方的IP 。大家应该提高警惕。
3、以Z-file 伪装加密程式
Z-file 伪装加密软体经过将档案压缩加密之后,再以 bmp影象档案格式显示出来副档名是 bmp,执行后是一幅普通的影象。当初设计这个软体的本意只是用来加密资料,用以就算计算机被入侵或被非法使使用时,也不容易泄漏你的机密资料所在。不过如果到了黑客手中,却可以变成一个入侵他人的帮凶。 使用者会将木马程式和小游戏合并,再用 Z-file 加密及将 此“混合体”发给受害者,由于看上去是影象档案,受害者往往都不以为然,开启后又只是一般的图片,最可怕的地方还在于就连防毒软体也检测不出它内藏特洛伊木马和病毒。当打消了受害者警惕性后,再让他用WinZip 解压缩及执行 “伪装体 比方说还有一份小礼物要送给他,这样就可以成功地安装了木马程式。 如果入侵者有机会能使用受害者的电脑比如上门维修电脑,只要事先已经发出了“混合体,则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑,受害者根本不会怀疑有什么植入他的计算机中,而且时间并不长,30秒时间已经足够。就算是“明晃晃”地在受害者面前操作,他也不见得会看出这一双黑手正在干什么。特别值得一提的是,由于 “混合体” 可以躲过反病毒程式的检测,如果其中内含的是一触即发的病毒,那么一经结开压缩,后果将是不堪设想。
4、伪装成应用程式扩充套件元件
这一类属于最难识别的特洛伊木马。黑客们通常将木马程式写成为任何型别的档案 例如 dll、ocx等 然后挂在一个十分出名的软体中,让人不去怀疑安装档案的安全性,更不会有人检查它的档案多是否多了。而当受害者开启软体时,这个有问题的档案即会同时执行。 这种方式相比起用合并程式有一个更大的好处,那就是不用更改被入侵者的登入档案,以后每当其开启软体时木马程式都会同步执行
