一.木马的传播途径
木马的主要传播方式是利用各种互联网渠道诱惑用户单击、运行木马程序。
1.通过电子邮件的附件传播
这是最常见,也是最有效的一种方式,大部分病毒(特别是蠕虫病毒)都用此方式传播。首先,木马传播者对木马进行伪装( 如变形、压缩、脱壳、捆绑、取双后缀名等),使其具有很强的迷惑性。一般的做法是先在本地电脑将木马伪装,再使用*毒程序对伪装后的木马查*测试,如果不能被查到,就说明伪装成功。然后利用一些捆绑软件 把伪装后的木马藏到一幅图片内或者其他可运行脚本语言的文件内并发送出去。
2.通过下载文件传播
即使大的门户网站也不能保证任何时候的任何下载文件都安全,一些个人主页、小网站等就更不用说了。下载文件的传播方式一般有两种,一种是 直接把下载链接指向木马程序,也就是说下载的并不是需要的文件;另一种是采用捆绑方式,将木马捆绑到下载的文件中。
3.通过网页传播
很多VBS脚本病毒就是通过网页传播的,木马也不例外。网页内如果包含某些恶意代码,使得IE自动下载并执行某一木马程序, 这样不知不觉中就被种上了木马。在访问网页后如果IE设置被修改,甚至被锁定,也是网页上用脚本语言编写的恶意代码在作怪。
4.通过聊天工具传播
目前,QQ等网络聊天工具盛行,而这些工具都具备文件传输功能,不怀好意者很容易利用对方的信任传播木马和病毒文件。
中招后的表现
电脑中了木马后,或者木马程序被激活后,一般会有如下表现。
★电脑莫名其妙的死机或重启。
★硬盘在误操作的情况下频繁被访问。
★系统无端搜索软驱、光驱。
★系统运行速度异常缓慢,系统资源占用率过高。
木马伪装手段
木马的伪装手段多种多样,主要有以下几种伪装手段。
1.修改图标
已经有木马可以将木马服务端程序的图标改成HTML、TXT、 ZIP等文件的图标,这有相当大的迷惑性,但是提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的。
2.捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入系统。至于被捆绑的文件一般是可执行文件(即EXE、COM类的文件)。
3.出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序。木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成诸如"文件已破坏,无法打开的!"之类的信息。当服务端用户信以为真时,木马就悄悄侵入了系统。
4.定制端口
很多老式的木马端口都是固定的,这有助于判断是否感染了木马。只要查一下特定的端口,就知道感染了什么木马,所以很多新式的木马都加入了定制端口的功能。控制端用户可以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口), 这样就给判断所感染木马类型带来了麻烦。
5.自我销毁
这项功能是为了弥补木马的一个缺陷。当服务端用户打开含有木马的文件后,木马会将自己拷贝到Windows的系统文件夹中( C:/WINDOWS或C:/WINDOWS/SYSTEM目录下)。一般来说,原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),中了木马后,只在收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,就可以判断哪个是木马。安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,如果没有查*木马的工具,就很难删除木马了。这就是木马的自我销毁功能。
6.木马更名
安装到系统文件夹中的木马的文件名一般是固定的,只要根据一些介绍查*木马的攻略, 按图索骥,通过在系统文件夹查找特定的文件就可以断定中了什么木马。所以有很多木马都允许控制端用户自由定制安装后的木马文件名,这样一来就很难判断所感染的木马类型。
木马的隐藏方式
在电脑中,木马常常通过如下方式隐藏。
●集成到程序中。
●隐藏在配置文件中。
●隐藏在Win.ini文件中。
●伪装在普通文件中。
●内置到注册表中。
●隐藏到驱动程序中。
●隐藏到启动组中。
●捆绑在启动文件中。
●隐藏在超级链接中。
