火眼金睛识木马 木马画皮伪装七计(图)

木马程式一般分为客户端程式和服务端程式两部分，客户端程式用于远程式控制制电脑。而服务端程式，则隐藏到远程电脑中，接收并执行客户端程式发出的命令。所以当骇客通过网路控制一台远程电脑时，第一步就需要将服务端程式植入到远程电脑。为了能够让用户执行木马程式，骇客常常通过各种方式对它进行伪装，这种伪装就是我们说的木马画皮。自木马诞生以来，骇客们为了木马的隐蔽性，各种伪装伎俩可谓层出不穷，让人防不胜防。那么就让我们一起来练就一双火眼金睛，拆穿木马画皮伎俩，将这些不速之客拒之门外。
　　
　　画皮第一计:图标伪装
　　
　　伪装等级:★★★★
　　
　　在Windows系统中，每种文件类型使用不同的图标进行表示，用户通过一种图标就可以轻易地判断出这是那种文件类型。骇客为了迷惑用户，将木马服务端程式的图标换成一些常见的文件类型的图标，这样当用户运行以后，噩梦也就开始了。
　　
　　实例:黑洞2001服务端的安装程式使用了文件夹的图标(图1)，当你隐藏了已知文件类型的扩展名时，这个文件看上去就是一个文件夹，当你好奇地点击它，打算进去看看有什么文件的时候，潘多拉的盒子就打开了。
　　
　
　　图 1
　　
　　识别方法
　　
　　平时我们在运行一个文件的时候，常常习惯于利用滑鼠双击运行它，这样Windows系统首先会判断文件类型打开其关联程式，然后再打开这个文件。这样运行方法就很容易激活修改了图标的木马程式。其实，我们只需要换一种方式，就可以避免。比如我们看到一个文本文件的文件后，并不要双击打开它，而是首先打开记事本程式，然后通过“文件”功能表中的“打开”命令来打开这个文件，如果显示出的是乱码，那么这个“文本文件”就肯定有问题。
　　
　　安全专家点评:更换图标是最基本的木马服务端的伪装方式，但是只使用这一种方式是远远不够的。骇客会将它和文件更名、文件捆绑等一系列的伪装方式进行组合，这样才能骗得用户运行。所以不要随意执行别人发来的文件，那怕他是你的朋友也要谨慎一些。
　　
　　画皮第二计:改名换姓
　　
　　伪装等级:★★★
　　
　　图标修改往往和文件改名是一起进行的，骇客往往将文件的名称取得非常的诱人，比如“漂亮的妹妹”之类，骗用户去运行它。当木马服务端程式运行以后，服务端程式也会将自己的进程设置为和正常的系统进程相似的名称，从而使用户不容易产生怀疑，被其麻痹。
　　
　　实例:如图2所示，这是笔者制作的木马服务端安装程式，它在电脑上显示为“漂亮的妹妹.bmp”。如果你把它当作一个图像文件来打开的话，笔者的木马也就在你的电脑中安营扎寨了。
　　
　
　　图 2
　　
　　识别方法
　　
　　首先要明确，不论木马如何伪装自己的图标和文件名，它的尾码部分必须是一个可执行的扩展名，比如EXE、COM、BAT等，否则木马不会运行自己的代码， 在Windows系统的默认设置下会隐藏已知文件的扩展名，如果木马把自己的文件名改成了“XXX.bmp.exe”这个样子，扩展名“.exe”隐藏后，木马的文件名就会变成“XXX.bmp”，再给这个文件配一个图像文件的图标，这个文件就会变成“一只披着羊皮的狼”。在“文件夹选项”对话方块中选取“隐藏已知文件类型的扩展名”选项，具体的操作为:打开资源管理器，在功能表栏选择“工具→文件夹选择”打开“文件夹选择”对话方块，去掉“隐藏已知文件类型的扩展名”复选框中的小钩即可撕掉这部分木马的画皮。
　　
　　安全专家点评:这种方式在利用P2P程式进行文件传输的时候常常用到，而且通常是和图标伪装一起使用，让用户防不胜防。所以无论从那里得到的文件，在使用以前都通过杀毒软体对它进行一番查杀最好。
　　
　　画皮第三计:文件捆绑
　　
　　伪装等级:★★★★★
　　
　　文件捆绑就是通过使用文件捆绑器将木马服务端和正常的文件捆绑在一起，达到欺骗对方从而运行捆绑的木马程式。捆绑后的文件很有迷惑性，而且加上木马一般在后台运行，用户点击后不会出现什么异状，往往会在不知不觉中中招。
　　
　　实例:笔者将木马程式捆绑在电子书后得到的文件(图3)，和文件捆绑后得到的文件并没有损害，用户点击后仍能够看到电子书中的内容。这种方法有很大的迷惑性。
　　
　
　　图 3
　　
　　识别方法
　　
　　使用木马捆绑克星、FBFD等程式检查可疑的可执行文件，当文件进行了捆绑，程式就会出现类似“文件可能经过捆绑，请小心使用!”这样的提示。木马捆绑克星除了能检测出可执行文件中的其他程式，而且还能把捆绑在其中的程式分离出来。
　　
　　安全专家点评:随着人们网路安全意识的提高，以前很多的骇客攻击手段已经得到了有效的遏制，可是利用文件捆绑来进行木马服务端程式的传播，却一直受到骇客的钟爱。所以用户在运行可执行文件时，一定要提高警惕。
　　
　　画皮第四计:出错显示
　　
　　伪装等级:★★★
　　
　　绝大多数木马服务端安装时不会出现任何图形介面，因此，如果一个程式双击后没有任何反应，有经验的网民就会怀疑它是木马。为了消除这部分人心中的疑虑，骇客会让木马在被运行时弹出一个错误提示对话方块。
　　
　　实例:如今的木马程式，很多都有“安装完毕后显示提示”的选项，例如木马HDSPY，用户在配置服务端程式后，在“提示内容”输入框中输入需要的提示内容，例如“文件已损坏，无法打开”等。当用户运行服务端程式后，就会弹出我们设置的内容。
　　
　　识别方法
　　
　　如果该文件是木马程式，用户在看到了出错资讯的时候往往已经中招。所以用户看到错误资讯的时候要有所警觉，这个时候就要通过扫描系统端口判断自己是否中了木马。比如可以采用X-Scan对自己的系统进行扫描。如果发现可疑端口就要进行相应的查杀。
　　
　　安全专家点评:这种方法虽然在早期可以骗得用户，但随着人们安全意识的提高，往往给人一种“画蛇添足”的感觉。
　　
　　画皮第五计:自我销毁
　　
　　伪装等级:★★★
　　
　　大多数木马本身只有一个文件，它的安装程式其实就是木马服务端程式，当你双击了一个木马的安装程式后，它会把自己拷贝到系统目录或其他目录，因此，一些有经验的网民如果怀疑一个程式是木马，它会根据安装程式的大小在硬盘上搜索木马文件。为了对付这部分网民，一些木马设计了自我销毁的功能，当它把自己拷贝到系统目录或其他目录后，它会把自己删除，让你无据可查。
　　
　　识别方法
　　
　　对于这种方法就需要对系统的注册表进行即时监测和使用木马利用杀毒软体对系统以及注册表进行及时监控。一般木马会在系统注册表中留下痕迹。这个时候我们就可以根据这些蛛丝马迹揪出这些木马。
　　
　　安全专家点评:利用这种方式进行木马种植的，主要是利用了网页木马和远程溢出等方式。因为骇客利用网页木马或远程溢出，都是在用户不知情的情况下，将木马植入远程系统的。既然远程用户不知情，利用木马的自我销毁功能就可以做到“来无影去无踪”。
　　
　　画皮第六计:网页“嫁衣”
　　
　　伪装等级:★★★★
　　
　　网页木马是骇客成功利用了系统以及一些程式的漏洞，诱骗用户浏览某个特殊的网页，在用户浏览的时候，网页木马就会成功地利用系统的漏洞，从而将设置的木马服务端程式“悄悄地”安装到远程系统中。
　　
　　实例:制作网页木马有很多现成的工具，动鲨网页木马生成器就是很优秀的一款，该木马生成器利用了微软的IE Help ActiveX控件漏洞绕过本地安全域。
　　
　　识别方法
　　
　　如果你在访问了一个不熟悉的网页后，电脑上网的速度突然下降，甚至出现假死的情况，那么就可能是中了网页木马了。大家可以在访问不熟悉的网页前用“view-source”这个IE命令查看网页的源代码。如果发现源代码中有＜IFRAME name=zhu src="ww.XXX.htm" frameBorder=0 width=0 height=0＞之类的就不要访问了。
　　
　　安全专家点评:利用网页木马传播木马服务端程式，是当前非常流行的一种方法。受害者在不经意之间就被种植了木马程式。对不熟悉的网页最好不要去访问，如果访问后系统出现问题要断网查杀木马。
　　
　　画皮第七计:邮件附件
　　
　　伪装等级:★★
　　
　　通过电子邮件的附件，进行简单的文件传输，本来是为了方便用户。可骇客正是看中了这一点，通过伪造一些着名的企业或用户好友的邮件来欺骗用户，通过邮件附件来传播木马服务端程式。
　　
　　实例:骇客在邮件附件中加入木马后，一般会使用比较有迷惑性的语句来骗取用户的信任。比如 “这是Windows最新的安全补丁程式，请运行后重新启动系统。”
　　
　　识别方法
　　
　　不要立即运行邮件附件，而是将它“另存为”到一个文件夹，然后对文件夹进行查杀检测，发现问题立即删除。
　　
　　安全专家点评:利用电子邮件的附件，是最常见的木马和病毒的传播方法。一般没有经验的用户会上当中招。但是因为很多邮件系统自带杀毒系统，所以现在已经不是很流行了。