怎么彻底清除特洛伊木马病毒
首先一款好的杀软
这里推荐2款,绝对是世界顶尖的查杀率,小红伞和卡巴,NOD32对木马查杀不行
其次木马专杀工具
这里推荐
360木马专杀(防御就是360安全卫士)、超级巡警、Spyware
Doctor
(这个是世界顶级的反间谍软件)
最后学会手动删除
当然这点比较困难,也不是一言半语可以说清楚的
但是简单的方法就是锁定木马文件位置,修改权限删除
怎么用木马?
木马和冰河的使用!【教程】
木马
大家对他的名字很熟悉吧??是啊木马作为一个远程控制的软件已经深入人心,木马是
什么那?如何使用木马程序控制他人那??先不要着急,我们来看看木马的发展,对这
个工具作一个简单的介绍:
黑客程序里的特洛伊木马有以下的特点:
(1)主程序有两个,一个是服务端,另一个是控制端。(如果你下载了,请千万不要
用鼠标双击服务器端)
(2)服务端需要在主机(被你控制的电脑)执行。
(3)一般特洛伊木马程序都是隐蔽的进程。(需要专业的软件来查杀,也有不用软件
查杀的办法,我会介绍)
(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在
接受命令后,会执行相应的任务。
(5)每个系统都存在特洛伊木马。(包括Windows,Unix,liunx等)
眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病
毒的性质。(包括:转播,感染文件等,但是很多的杀毒软件还是可以查杀,毕竟这是
一种使用简单但是危害比较大的软件)
木马的发展:
第一代木马:控制端 -- 连接 -- 服务端
特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。
典型木马:冰河,NetSpy,back orifice(简称:BO)等。
第二代木马:服务端 -- 连接 -- 控制端
特点:属于主动型木马。隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态
连接库)隐藏进程的,甚至出现能传播的木马。
典型木马:网络神偷,广外女生等。(反弹端口型木马)
第二代木马象广外女生可以使用WINDOWS的漏洞,越过许多防火墙从而进行对系统的监
控(像金山,天网等)
随着木马的发展,并且作为很多人使用的软件,杀毒软件也越来越对这个传播很广的半
病毒不病毒的软件越来越关注(因为作为服务器端可以夹带在任何文件中传播,只要你
打开这个文件,你就肯定会被中上木马,甚至可以在网络上通过下载来传播)所以查杀
木马的工具很多,但是道高一尺,魔高一丈,木马又不断演化出新的品种来对抗杀毒软
件,毕竟中国的广大网民的安全意识不高,加上盗版猖狂,可以正式在网络上进行升级
的并不多,所以木马还是很有使用空间的。下面,我们将介绍一款国产的木马-------
冰河。
需要工具:冰河(随便你找什么版本,因为界面根本就差不多)
Superscan3.0 中文汉化版(上黑白搜索一下可以找到)
首先最重要的一步-------工具接压缩(啊~~我知道是废话。。大家多多包涵嘛。。不
要打拉)
然后运行Superscan3.0(就是那连着的两个电脑图标)
出现界面在IP表里面有两个选项
起始IP:
终止IP:
随便填上两个IP地址(最好是C类IP范围从192.0.0.0--223.255.255.255)
顺便讲一下IP的类型:
A类范围:0.0.0.0---127.255.255.255
B类范围:128.0.0.0---191.255.255.255
C类范围:192.0.0.0---223.255.255.255
D类范围:224.0.0.0---239.255.255.255
E类范围:240.0.0.0---247.255.255.255
一般只有B、C类用的着D类地址是用于多点播送的其他的我也不是很清楚,有兴趣的朋
友可以看看相关的资料。。。。。
闲话说到这里我们继续看起始IP和终止IP
我给大家一个参考
起始IP:202.103.139.1
终止IP:2020103.139.255
填好这个在扫描类型里看列表中定义:
你可以扫描很多的端口,但那对我们的木马攻击没有实际意义
所以我们把两个窗口填上7626(冰河服务端开的端口)。
好了,点开始。
扫描结果会出现在底下兰色的列表中
当然不是所有的结果都有用你要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河
的主机。(假如没有找到,请不要灰心,继续扫描。一个成功的黑客最重要是有耐心
!)
好了打开我们的冰河的客户端(再次提醒!!千万不要点服务器端!!!否则你等于种
木马给自己!!什么??你已经点了??你不会那么傻吧。。。。)
具体功能包括:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕
变化的同时,监控端的一切键盘及鼠标*作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对
话框中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、*作系统版本、当
前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定
注册表等多项功能限制;
5.远程文件*作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏
览文本文件、远程打开文件(提供了四中不同的打开方式--正常方式、最大化、最小化
和隐藏方式)等多项文件*作功能;
6.注册表*作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表
*作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
呵呵,是不是很拽??哼哼~~我叫你不服!!!我要删掉你C盘文件!!!修改你注册
表!!盗你QQ号码!!上网帐号!!
!………………………………………………………………
罗嗦一下!!你们千万不要搞破坏哦,学会了使用就好。。。
接着,我会介绍特洛伊木马“冰河”的使用:
首先打开客户端
出现*作界面
文件 编辑 设置 帮助
点文件出现下拉菜单
点自动搜索
出现提示框
里面只有起始域 起使地址 终止地址
这三个比较有用
比如我刚才用Superscan3.0 中文汉化版搜索到的IP是202.103.139.25
那么我们就在起始域里输入:202.103.139
起始地址:25
终止地址:25
表示搜索这一个主机
如果扫描结果里显示ERR表示该计算机没有种木马,如果是OK你就爽拉~~
(你也可以在起始域里输入:202.103.139起始里面:1终止里面255,这样是搜索
202.103.139子网里所有的计算机)
看到这里有的朋友会问拉,既然木马可以自己扫描为什么还要上面哪个工具??嘿嘿~~
哪个比较快嘛,多学一点没有坏处的~~(啊~~我错了还不行??大家息怒)
只要有扫到的OK的IP就会把该计算机的IP添到主界面的文件管理的下面他的前面有一个
小加号,点开他你可以随便对对方的文件进行修改删除了,你甚至可以上传一个病毒到
他的文件夹中(不推荐,你们没那么大仇吧??)
好了我们再来看看文件管理右面的命令控制台,这里有你感兴趣的东西哦~~命令很简单
都是一看就会的,你们只要每个都实验一下就知道作什么用的拉
由于危害性我只介绍一个点“命令控制台”---“控制类命令”---“系统控制”
简单的就象小孩子的游戏~~~
看看下面有什么??
远程关闭计算机
远程从新启动计算机
后面两个没什么用不理他也罢
你只要点一下远程“关闭计算机”
OK拉,他的电脑自己关机拉,不相信??好,QQ上和他说话,他能回答你才怪:)
好了,关于*作的方法我已经向大家介绍了,这是一个傻瓜式的软件,*作命令全中文,
作用一看就知道,很容易上手,用他来盗QQ也不错哦~~~~(在口令类命令的系统信息及
口令里,要先做键盘记录哦)具体方法请自己研究,我可不想犯罪。。
关于使用方法就介绍到这里,到这里以上为止都是对不特定人物的入侵,那么要怎么对
特定的人物进行入侵那??记得我不叫你们点的服务器端吗?呵呵,就是他,他是没有
图标的一个运行文件,可以夹带在几乎任何文件里运送,比如照片,FLASH等……(有
相关的合成软件,我不知道具体那里有下载,不过我有的,你们需要可以找我,不过不
要拿来作坏事)你只需要给你的网友用QQ传送个照片呀,一篇文章呀就可以顺利种上木
马,然后你要取得他(她)的IP地址就可以对他进行控制拉,这方法不是我教你们的啊
!!以后不要出卖我,还有电子邮件也可以传播。。。。。。。木马病毒。。
方法有很多大家可以自己研究。。。。。。
下面有几点提示:
1:为什么我解压缩的时候杀毒软件老是报有病毒呀??
木马本身就是一个病毒,只要你不点服务器端,对你不会造成任何影响
运行的时候也要关掉防火墙,否则系统无法运行。
2:为什么我种上木马以后连接不到计算机??
很简单,你的版本过旧拉,去下载新的版本吧,再者对方在网吧,由于
设定和家里不一样所以无法连接请尽量选择在家里的倒霉鬼进行实验。
什么??你不知道他是不是在家??看QQ的IP地址
比如对方IP是202.103.139.22:4000表示在家
202.103.139.22:1030网吧
只有后面是4000、7000的用户是在家
有的时候是4001、4002表示对方现在运行的QQ数目,不用管他
3:关于冰河的万能密码:
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq2000!
有的是要密码口令登陆的,不过一般不要,也不用刻意注意
4:我也种上服务器端了,对方也在家,他也并没发觉我给他种了,但就是连接不正常
呵呵,对方懂得使用代理服务器那你看到的IP地址不是真实的IP地址。这种情况,你还
是放弃吧。
5:冰河是一个很麻烦的家伙,卸载很麻烦就是你安装以后卸载和其他的程序不一样
网上相关文章很多,我由于最近考试关系就不一一介绍了,你可以去黑白网络看看:)
6:如果清除冰河服务端:
方法一: 俗话说,解铃还需系铃人。中了冰河,就用它的控制端来卸载服务端。具体
方法:
1、启动“冰河”的控制端程序。
2、选择“文件”--“添加主机”,或者直接点击快接按钮栏的第一个图标 。
3、弹出的对话框中,“远程主机”一项,填写自己的IP。
4、连接服务端,然后,点击“命令控制台”标签。
5、选择“控制类命令”--“系统控制”,在右面的窗口下方,你会发现四个按钮。点
击“自动卸载”,就将冰河的服务器端清除了。
方法二:
冰河 v1.1
1、打开注册表“Regedit.exe”。(可以在“开始”--“运行”里输入
“regedit”。)
2、点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3、查找以下的两个路径,并删除
“C:\windows\system\kernel32.exe”
"“C:\windows\system\sysexplr.exe”
4、关闭“Regedit.exe”,重新启动Windows。
5、删除“C:\windows\system\kernel32.exe”和
“C:\windows\system\sysexplr.exe”木马程序。
6:重新启动。完成。
方法一是对于你给别人种的服务器端的,记得玩完以后给人家清除掉,作事情不要那么
决情!!
方法二是对于清除自己计算机里的服务器端的,现在就好好看看是不是由于自己的疏忽
被人家种下冰河。。。。。。。。。
小结:对于木马的大家庭来说冰河只是一个小弟弟,但是大家也看到了他的危害性,所
以本人只建议大家学习这个软件,并不是用他去干什么,恶意破坏是低级黑客(根本可
以说是菜鸟)的做法,建议大家不要搞破坏,学习就好。。。。。。。。。。
什么是木马程序?她是怎么发挥功能?
木马,全称特洛伊木马(Trojan horse),这个词语来源于古希腊神话,在计算机领域是一种客户/服务器程序,是黑客最常用的基于远程控制的工具。目前,比较有名的国产木马有:“冰河”、“广外女生”、“黑洞”、“黑冰”等;国外有名的木马则有:“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大,因此,如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。
1 木马的实现原理及特征
1.1 木马的实现原理
从本质上看,木马都是网络客户/服务模式,它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。
当攻击者要利用木马进行网络入侵,一般都要完成“向目标主机传播木马”,“启动和隐藏木马”,“建立连接”,“远程控制”等环节。
1.2 木马的特征
一个典型的木马程序通常具有以下四个特征:隐蔽性、欺骗性、顽固性和危害性。
(1)隐蔽性:隐蔽性是木马的生命力,也是其首要特征。木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己,进而被杀毒(或杀马)软件,甚至用户手工检查出来,这样将使得这类木马变得毫无价值。木马的隐蔽性主要体现在以下两方面:
a.不产生图标。木马虽然在系统启动时会自动运行,但它不会在“任务栏”中产生一个图标。
b.木马自动在任务管理器中隐藏或者以“系统服务”的方式欺骗操作系统。这也就使得要及时了解是否中了木马带来了一定的困难。
(2)欺骗性:木马常常使用名字欺骗技术达到长期隐蔽的目的。它经常使用常见的文件名或扩展名,如dll、win、sys、explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常常修改几个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中而已。
(3)顽固性:很多木马的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。当木马被检查出来以后,仅仅删除木马程序是不行的,有的木马使用文件关联技术,当打开某种类型的文件时,这种木马又重新生成并运行。
(4)危害性:当木马被植入目标主机以后,攻击者可以通过客户端强大的控制和破坏力对主机进行操作。比如可以窃取系统密码,控制系统的运行,进行有关文件的操作以及修改注册表等。
2 木马入侵手段
木马能不能完全发挥它的功能和作用,关键一步就是能否成功地进入到目标主机。随着网络知识的普及以及网络用户安全意识的提高,木马的入侵手段也随着发生了许多变化。
2.1木马的传统入侵手段
所谓传统入侵手段就是指大多数木马程序采取的、已经广为人知的传播方式,主要有以下几种:
1)电子邮件(E-mail)进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。
2)网络下载进行传播:一般的木马服务端程序都不是很大,最大也不超过200K,有的甚至只有几K。如果把木马捆绑到其它正常文件上,是很难发现的。一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。通过Script、ActiveX及Asp、Cgi交互脚本的方法传播:由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。如果攻击者有办法把木马服务端程序上载到目标主机的一个可执行WWW目录夹里面,他就可以通过编制Cgi程序在被攻击的目标主机上执行木马程序。
3)网页浏览传播:这种方法利用Java Applet编写出一个HTML网页,当我们浏览该页面时,Java Applet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。
4)利用系统的一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。
5)远程入侵进行传播:黑客通过破解密码和建立IPC$远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:\WINDOWS\system32或者C:\WINNT\system32)中,然后通过远程操作让木马程序在某一个时间运行。
2.2 木马入侵手段的发展
以上的木马入侵手段虽然使用广泛,但也很容易引起用户的警觉,所以一些新的入侵手段也相继出现,主要有:
1) 基于DLL和远程线程插入的木马植入
这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。
DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。将木马程序以DLL的形式实现后,需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间,即利用该线程通过调用Load Library函数来加载木马DLL,从而实现木马的传播。
2)利用蠕虫病毒传播木马
以前的木马传播大都比较被动,而使用E-mail传播效率又太低,系统漏洞很快又被打上补丁,所以在某种程度上限制了木马的传播能力。网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在网络上大批量地进行传播、复制,这就加快了木马的传播速度,扩大了其传播范围。
3 木马的防范措施
为了减少或避免木马给主机以及网络带来危害,我们可以从两方面来有效地防范木马:使用防火墙阻止木马入侵以及及时查杀入侵后的木马。
防火墙是抵挡木马入侵的第一道门,也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接,防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查,在适当规则的限制下,如对通讯端口进行限制,只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。但是,仍然有一些木马可以绕过防火墙进入目标主机(比如反弹端口木马),还有一些将端口寄生在合法端口上的木马,防火墙对此也无能为力。因此,我们必须要能迅速地查杀出已经入侵的木马。
特洛伊木马程序原理及传染机制分析
木马,也称特洛伊木马,英文名称为Trojan Horse,是借自“木马屠城记”中那只木马的名字。古希腊有大军围攻特洛伊城,久久不能得手。有人献计制造一只高二丈的大木马假装作战马神,攻击数天后仍然无功,遂留下木马拔营而去。城中得到解围的消息,及得到 “木马”这个奇异的战利品,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开密门游绳而下,开启城门四处纵火,城外伏兵涌入,焚屠特洛伊城。后世称这只木马为 “特洛伊木马”,现今计算机术语借用其名,意思是 “一经进入,后患无穷”。特洛伊木马原则上和一些远程控制程序如PCanywhere等一样,只是一种远程管理工具,而且本身不带伤害性,也没有感染力;但却常常被人们视之为病毒,原因是如果有人不当地使用,破坏力可以比病毒更强。
由于很多新手对安全问题了解不多,再加上木马程序具有隐蔽性强的特点,不借助专门的监控软件,很不容易发现特洛伊木马的存在和黑客的入侵。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的 “木马”程序,因此最关键的是要知道“木马”的工作原理,这样就会很容易发现 “木马”,并且知道怎么清除自己计算机中的 “木马”了。
木马攻击原理
木马攻击是黑客最常用的攻击方法,因此,在本章中我们将使用较大篇幅来介绍木马的攻防技术。
木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,远程监控这台计算机上的所有操作。
在使用木马的人群中菜鸟黑客居多,他们往往接触网络不久,对黑客技术很感兴趣,很想向众人和朋友显示一番,但是攻击技术却不高,不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱,而且随着国产木马的不断出现,多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了,他们通常会在得到一个服务器权限的时候植入自己编写的木马作为后门,以便将来随时方便进出这台服务器。
提示
黑客高手们自己编写的木马一般杀毒软件和木马扫描软件都不会认为是木马或病毒,具有很大的危害性。
1、木马的分类
常见的木马主要可以分为以下9大类:
(1)破坏型
这种木马唯一的功能就是破坏并且删除文件,它们非常简单,很容易使用。能自动删除目标机上的DLL、INI、
EXE文件,所以非常危险,一旦被感染就会严重威胁到电脑的安全。不过,一般黑客不会做这种无意义的纯粹
破坏的事,除非你和他有仇。
(2)密码发送型
这种木马可以找到目标机的隐藏密码,并且在受害者不知道的情况下,把它们发送到指定的信箱。有人
喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用Windows提供的密码记
忆功能,这样就可以不必每次都输入密码了。这类木马恰恰是利用这一点获取目标机的密码,它们大多数会
在每次启动Windows时重新运行,而且多使用25号端口上送E-mail。如果目标机有隐藏密码,这些木马是非
常危险的。
(3)远程访问型
这种木马是现在使用最广泛的木马,它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序,客户
端通过扫描等手段知道了服务端的IP地址,就可以实现远程控制。
当然,这种远程控制也可以用在正道上,比如教师监控学生在机器上的所有操作。
远程访问型木马会在目标机上打开一个端口,而且有些木马还可以改变端口、设置连接密码等,为的是只
有黑客自己来控制这个木马。
改变端口的选项非常重要,因为一些常见木马的监听端口已经为大家熟知,改变了端口,才会有更大
的隐蔽性。
(4)键盘记录木马
这种特洛伊木马非常简单。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码,并且随
着Windows的启动而启动。它们有在线和离线记录这样的选项,可以分别记录你在线和离线状态下敲击键盘时的按键
情况,也就是说你按过什么按键,黑客从记录中都可以知道,并且很容易从中得到你的密码等有用信息,甚至是你
的信用卡账号哦!当然,对于这种类型的木马,很多都具有邮件发送功能,会自动将密码发送到黑客指定的邮箱。
(5)DoS攻击木马
随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当黑客入侵一台机器后,给
他种上DoS攻击木马,那么日后这台计算机就成为黑客DoS攻击的最得力助手了。黑客控制的肉鸡数量越多,发
动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在黑客利用
它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。
还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对
特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
(6)FTP木马
这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马
还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进入对方计算机。
(7)反弹端口型木马
木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于
连出的链接却疏于防范。与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控
制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的被动
端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口时,发现类似TCP
UserIP:1026 Controller IP:80 ESTABLISHED的情况,稍微疏忽一点,就会以为是自己在浏览网页,因为浏
览网页都会打开80端口的。
(8)代理木马
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上
代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的
情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。
(9)程序杀手木马
上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常
见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程
序,让其他的木马更好地发挥作用。
提示
(8)、(9)两种类型的木马实际上是其它类型的木马可能具有的功能,如很多远程访问型木马都可以使
用代理服务器的方式连接肉机,而且连上肉机上首先检查对方不是开启了防火墙,如果有,则杀掉其进程,
这样更有利于黑客隐藏身份,从而实现远程控制的目的。
2、木马是如何侵入系统的
我们知道:一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控
制植入木马的计算机,服务器端程序就是我们通常所说的木马程序。攻击者要通过木马攻击计算机系统,所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。
提示
注意木马的客户端和服务器端的称谓,被置了木马的机器称为服务器端,而黑客控制的一端称为客户端。
目前木马入侵的主要途径是通过一定的方法把木马执行文件植入被攻击者的电脑系统里,如通过邮件发送、文件下载、网页浏览等,然后通过一定的提示误导被攻击者打开执行文件,比如谎称该木马执行文件是朋友的贺卡文件,用户在毫无防备的情况下打开这个文件后,确实有贺卡的画面出现,但这时木马可能已经在后台悄悄运行了。
那为什么用户一般都不会发现自己的主机运行了木马程序呢?
这主要是因为木马的执行文件一般都非常小,最大不过几十K。因此,如果把木马捆绑到其他正常文件上是很难发现的。有一些网站提供的软件下载往往是捆绑了木马文件的,在执行这些下载的文件时,也同时运行了木马。
木马在被植入主机后,它一般会通过一定的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,攻击者有这些信息才能够与木马里应外合控制攻击主机。
由于任何木马都有一个服务端程序,要对一台目标机进行远程控制都必须将服务端程序送入目标机,并诱骗目标机执行该程序。这是用木马进行远程控制中的重要一步,也是很有技巧的一步。
木马的传播方式主要有两种:
① 通过E-mail,由控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件就会感染木马。
这一种方式关键的一点,就是如何让对方打开附件。一般情况可在邮件主题写一些吸引人的、易引起人好奇的内容,促使对方毫无知觉地自动种上木马,被你控制。
② 通过软件下载,一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装了。
要想对方下载你放在网站上的软件,可以取一些特诱惑人的名称,如某某明星的图片,某某软件的破解版等让人易上当的名称,从而也让别人在不知不觉中种上木马,将端口开放给你,任你使用。
在早期的木马里面,大多是通过发送电子邮件的方式把入侵主机信息告诉攻击者,有一些木马文件干脆把主机所有的密码用邮件的形式通知给攻击者,这样攻击者就不用直接连接攻击主机即可获得一些重要数据,如攻击OICQ密码的GOP木马即是如此。
不过,使用电子邮件的方式对攻击者来说并不是最好的选择,因为如果木马被发现,就可以通过该电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。
除了邮件植入外,木马还可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入,由于IE浏览器在执行Script脚本上存在安全漏洞,因此,木马就可以利用这些漏洞很容易植入被攻击的电脑。
此外,木马还可以利用一些系统漏洞植入,如著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序使IIS服务器崩溃,同时在服务器上执行木马程序,从而植入木马。
3、木马是如何实施攻击的
木马可以以任何形式出现,可能是任何由用户或客户引入到系统中的程序。它可能泄漏一些系统的私有信息,或者控制该系统,这样,它实际上就潜伏着很大的危险性。
通常木马采取六个步骤实施攻击:配置木马 (伪装木马)→传播木马 (通过E-mail或者下载)→运行木马 (自动安装、自启动)→信息泄漏 (E-mail、IRC或ICQ的方式把你的信息泄露出去)→建立连接→远程控制。
至此,木马就彻底掌握了主动权,而你,就坐以待毙吧!
0条大神的评论