特洛伊木马(简称为“木马”,英文为trojan)由于不感染其他的文件,也不破坏计算机系统,同时也不进行自我的复制,所以木马不具有传统计算机病毒的特征。由于目前市面上的杀病毒软件一般都直接支持对木马的查杀,所以大家习惯于将木马称为“木马病毒” 。
01、木马的特征和类型
在恶意代码家族中,木马主要用来作为远程控制和窃取用户隐私信息,它同时具有计算机病毒和后门程序的特征。
1.木马的特征
一般的木马程序包括客户端和服务器端两个程序,其中客户端用于攻击者远程控制植入木马的计算机(即服务器端),而服务器端即是植入木马程序的远程计算机。当木马程序或带有木马的其他程序执行后,木马首先会在系统中潜伏下来,并修改系统的配置参数,每次启动系统时都能够实现木马程序的自动加载。有时,木马程序会修改某一类型文件的关联,从而使木马的潜伏变得更加容易,并不易被用户发现。如图6-19所示,运行木马的客户端和服务器端在工作方式上属于客户机/服务器模式(Client/Server,C/S),其中,客户端在本地主机执行,用来控制服务器端。而服务器端则在远程主机上执行,一旦执行成功该主机就中了木马,就可以成为一台服务器,可以被控制者进行远程管理。
木马通常采取如图6-20所示的方式实施攻击:配置木马(伪装木马)→传播木马(通过文件下载或电子邮件等方式)→运行木马(自动安装并运行)→信息泄露→建立连接→远程控制。
目前,木马入侵的主要途径是通过电子邮件的附件或文件下载等方式,将木马程序复制到用户的计算机中,然后通过修改系统配置文件或故意误导用户(如谎称有人给你送贺卡)使木马程序悄悄地在后台执行。一般的木马程序只有几KB到几十KB的大小,所以当木马程序隐藏在正常的文件中后用户一般很难发现。
木马也可以通过脚本、ActiveX及ASP.CGI交互脚本的方式植入,由于IE浏览器在执行脚本时存在一些漏洞,这就为攻击者植入木马提供了便利。例如,曾出现过一个利用微软公司的Scripts脚本漏洞对用户的硬盘进行格式化的HTML页面。
2.常见木马的种类
从木马程序产生以来,不但其隐蔽性得到加强,而且木马的编写和控制技术及功能也在不断加强。从总体来看,可以对目前已发现的木马程序进行以下的分类。
1)远程控制型木马。远程控制型木马一般集成了其他木马和远程控制软件的功能,实现对远程主机的入侵和控制,包括访问系统的文件,截取主机用户的私人信息(包括系统帐号、银行账号等)。在木马家族中,远程控制型木马是数量最多的一种,也是危害最大的一种,它可以让攻击者完全控制已植入木马的主机,从事一些甚至连本地用户本身都不能顺利进行的操作。大家熟知的冰河就是一个远程控制型木马,当服务端程序运行时,客户端只要能够知道服务器的IP地址,就会方便地实现远程控制,从事像键盘记录、上传和下载信息、修改注册表等操作。
2)密码发送型木马。密码发送型木马是专门为了窃取别人计算机上的密码而编写的,木马一旦被执行,就会自动搜索内存、Cache、临时文件夹以及其他各种包含有密码的文件,如Windows Server操作系统的SAM文件中保存的Administrator账户密码等。一旦搜索到有用的密码,木马就会利用免费的电子邮件服务将密码发送到指定的邮箱,从而达到非法窃取别人计算机上密码的目的。这种木马的设计目的是找到所有的隐藏密码并且在用户不知道的情况下把密码发送到指定的信箱。
3)键盘记录型木马。键盘记录型木马的设计目的主要是用于记录用户的键盘敲击,并且在日志文件(log文件)中查找密码。该类木马分别记录用户在线和离线状态下敲击键盘时的按键信息。攻击者在获得这些按键信息后,很容易就会得到用户的密码等有用信息,包括用户可能在网上输入的银行账号。当然,在该类木马中,记录信息的返回一般也通过邮件发送功能来完成。
4)破坏型木马。破坏型木马的功能比较单一,即破坏已植入木马的计算机上的文件系统,轻则使重要数据被删除,重则使系统崩溃。破坏型木马的功能与计算机病毒有些相似,不同的是木破坏型木马的激活是由攻击者控制的,并且传播能力也比病毒慢。
5)DoS攻击型木马。随着DoS (Denial of Service,拒绝服务)和DDoS(Distributed Denial of Service,分布式拒绝服务)攻击越来越广泛的应用,与之相伴的DoS攻击型木马也越来越流行。当黑客入侵了一台主机并植入了DoS攻击型木马,那么这台主机就成为黑客进行DoS攻击的最得力助手。黑客控制的主机越多,发起的DoS攻击也就越具有破坏性。由此可以看出,DoS攻击型木马的危害不是体现在被植入木马的主机上,而是攻击者利用它作为攻击信息的发起源头来攻击其他的计算机,从而使被攻击的计算机瘫痪。另外,还有一种称之为邮件炸弹的木马,它有些类似于DoS攻击型木马,一旦某台主机被植入并运行了木马,木马就会随机自动生成大量的邮件,并将其发送到特定的邮箱中,直到对方的邮件服务器瘫痪为止。
6)代理型木马。在计算机网络中,代理是一种被广泛使用的技术。所谓代理其实就是一个跳板或中转,即两台主机之间的通信必须借助另一台主机(该主机在网络中称为代理服务器)来完成。代理型木马被植入主机后,像DoS攻击型木马一样,该主机本身不会遭到破坏。其实,代理型木马这样做的初衷便是掩盖自己的足迹,谨防别人发现自己的身份。通过代理型木马,攻击者可以在匿名的情况下使用Telnet远程登录程序以及ICQ、QQ、IRC等即时信息程序,从而隐蔽自己的踪迹。
7)FTP木马。FTP木马使用了网上广泛使用的FTP功能,通过FTP使用的TCP 21端口来实现主机之间的连接。现在新型的FTP木马还加上了密码功能,这样只有攻击者本人才知道正确的密码,从而进入对方的计算机。FTP木马是出现比较早的一类木马。
8)程序杀手木马。程序杀手木马的功能就是关闭对方计算机上运行的某些程序(多为专门的防病毒或防木马程序),让其他的木马安全进入,实现对主机的攻击。
9)反弹端口型木马。反弹端口型木马主要是针对防火墙而设计的。防火墙一般将网络分为内、外两部分,其中主要目的是保护内网资源。所以防火墙会对从外网进入内网的数据包进行严格的分析和过滤,而对从内网发往外网的数据包不作较多的处理。而木马的工作原理与防火墙正好相反,一般情况下,木马的攻击多由客户端发起,所以当被攻击者位于防火墙的内部时,位于外网的客户端将无法与位于内网的服务器端建立连接。针对这类情况,便出现了反弹端口型木马。反弹端口型木马的服务端使用主动端口,客户端使用被动端口。木马定时监测控制端的存在,发现控制端可以连接后便立即弹出端口来主动连接控制端打开的主动端口。多数反弹端口型木马被动端口设置为80端口以避开用户使用端口扫描软件发现木马的存在。很显然,防火墙一般是不会封闭80端口的,否则所有的Web页面将无法打开。
10)硬件木马。硬件木马是指插入原始电路的微小的恶意电路。这种电路潜伏在原始电路之中,在电路运行到某些特定的值或条件时,使原始电路发生本不该有的情况。这种恶意电路可对原始电路进行有目的性的修改,如泄露信息给攻击者,使电路功能发生改变,甚至直接损坏电路。硬件木马能够实现对专用集成电路(ASIC)、微处理器、微控制器、网络处理器、数字信号处理器(DSP)等硬件的修改。
另外,随着比特币、勒索软件等应用的流行,在已有木马不断产生新的变种的同时,还出现了一些新的木马类型,如挖矿木马可以利用网络中的计算机的帮助攻击者进行挖矿,以赚取比特币;另外,新的木马与僵尸程序结合,实施网络勒索攻击等。
02、木马的隐藏方式
由于木马所从事的是“地下工作”,因此为了防止“别人”发现它,它必须采取一定的方式隐藏起来。木马开发者一开始就想到了可能暴露木马踪迹的问题。例如木马会修改注册表和系统文件,以便计算机在下一次启动后仍能载入木马程序,而不需要生成一个启动程序。有些木马在服务器端实现了与正常程序的绑定,这种绑定称之为“exe-binder绑定程序”,可以在使用被绑定的正常程序时实现木马的入侵。有些木马程序能把它自身的exe可执行文件和服务端的图片文件(如扩展名为.jpg、.bmp的图片文件)绑定,在用户打开图片时,木马便侵人了系统。总体来看,木马主要通过以下几种方式进行隐藏。
1.在“任务栏”里隐藏
这是木马最常采用的隐藏方式。为此,如果用户在Windows的“任务栏”里发现莫名其妙的图标,应怀疑可能是木马程序在运行。但现在的许多木马程序已实现了在任务栏中的隐藏,当木马运行时已不会在任务栏中显示其程序图标。
2.在“任务管理器”里隐藏
在任务栏的空白位置单击鼠标右键,在出现的快捷菜单中选择“任务管理器”,打开其“进程”列表,就可以查看正在运行的进程。在进程列表中如果看到一些来路不明的名称,这时可以怀疑是木马程序。为了隐藏自己,现在的一些木马程序已实现了在进程中的伪装,使自己不出现在任务管理器里。有时,木马程序会将自己伪装为“系统服务”进程以骗过用户。
3.隐藏通信方式
隐藏通信也是木马经常采用的手段之一。通过前面的介绍读者已经明白任何木马运行后都要和攻击者(客户端)进行通信连接。这种连接一般有直接连接和间接连接两种方式,其中“直接连接”是指攻击者通过客户端直接接人植有木马的主机(服务器端);而“间接连接”即是如通过电子邮件、文件下载等方式,木马把侵入主机的敏感信息送给攻击者。现在大部分木马一般会在植入主机后,通过TCP或UDP端口进行驻留,而且有些木马多选择一些像53、80、23等常用的端口。例如,有一种木马还可以做到在通过80端口进行HTTP连接后,在收到正常的HTTP请求时仍然将其交给Web服务器进行处理,只有收到一些特殊约定的数据包时才调用木马程序。
4.隐藏加载方式
木马在植入主机后如果不采取一定的方式运行也就等于在用户的计算机上拷入了一个无用的文件,为此在木马值入主机后需要伺机运行。在运行时,如果木马不做任何伪装可以会被用户很快发现,所以木马必须采取非常隐蔽的方式通过欺骗用户来运行。
木马为了控制服务端,必须在系统启动时跟随启动,所以它必须潜入用户计算机的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组文件等。目前,随着一些互功网站的大量应用,为木马的植入和运行提供了方便之门,像Java Script、VBScript、ActiveX、XML等WWW的每一个新功能已几乎成为木马入侵的媒介。
5.通过修改系统配置文件来隐藏
木马可以通过修改VXD(虚拟设备驱动程序)或DLL(动态链接库)文件来加载木马。这种方法与一般方法不同,它基本上摆脱了原有的木马所采用的监听端口进行连接的模式,而将木马程序改写成系统已知的VXD或DLL文件,以替代系统功能的方法来入侵。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到。在这种方式中,木马几乎没有表现出任何症状,且木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
6.具有多重备份功能
现在许多木马程序已实现了模块化,其中一些功能模块已不再由单一的文件组成,而是具有多重备份,可以相互恢复。当用户删除了其中的一个模块文件时,其他的备份文件就会立即运行。这类木马很难防范。
03、系统中植入木马后的运行和表现形式
任何一种恶意代码在成功入侵系统后都会表现出一些特征,掌握这些特征可帮助查找和清除木马程序。
1.系统植入木马后的表现形式
与计算机病毒一样,当木马入侵系统后也会表现出一定的症状。主要表现为以下几种。
1)随意弹出窗口。虽然用户的计算机已经连接在网上,但即没有打开任何的浏览器。这时,如果系统突然会弹出一个上网窗口,并打开某一个网站,这时有可能运行了木马。如果用户上网使用的是拨号方式,如果系统突出进行自动拨号,也可能是有木马在运行。另外,在用户操作计算机时,有时会弹出一些警告框或信息提示对话框,这时也可能已运行了木马程序。
2)系统配置参数发生改变。有的时候,用户使用的Windows操作系统的配置参数(如屏幕保护、时间和日期显示、声音控制、鼠标的形状及灵敏度、CD-ROM的自动运行程序等)莫名其妙地被自动更改。
3)频繁地读写硬盘。在计算机上并未进行任何操作时,如果系统频繁地读写硬盘(硬盘指示灯会不停地闪烁),有时软盘驱动器也会经常自己读盘,这时可能有木马在运行。另外,在本章前面已经介绍过,木马还可能会在任务栏、任务管理器等处显示其运行的图标和进程。
4)系统资源占用率高。目前,以比特币为代表的数字货币受到关注,许多基于区块链技术的数字货币也纷纷问世,例如以太币,门罗币等。这类数字货币并非由特定的货币发行机构发行,而是依据特定算法通过大量运算所得,而完成如此大量运算的工具就是挖矿木马。挖矿木马运用计算机强大的运算力进行大量运算,由此获取数字货币。由于硬件性能的限制,数字货币玩家需要大量计算机进行运算以获得一定数量的数字货币,因此,一些不法分子通过各种手段将挖矿木马植入受害者的计算机中,利用受害者计算机的处理能力进行挖矿,从而获取利益。由于挖矿木马要占用大量的CPU等计算资源,所以突出表现为在没有计算任务的情况下计算机的CPU、内存等资源的利用率很高。
2.木马的自运行方式
作为一个优秀的木马程序必须具备自启动功能,一个典型的例子就是把木马加入到用户经常执行的程序(如explorer.exe、winword.exe)中,用户执行该程序时,木马则会自动运行。木马更普遍的方法是通过修改Windows系统文件和注册表达到目的,主要表现在以下几个方面。
1)在win.ini中启动。Windows操作系统的win.ini文件,其中[windows]字段中有“load=”和“run=”两个启动命令,系统默认情况下这两条后面是空白的。如果木马要利用win.ini实现自运行,就可以将要运行的木马程序加载到这两条启动命令中。
2)在system.ini中启动。在Windows的安装目录下有一个系统配置文件system.ini,在[386Enh]字段下的“driver=路径\程序名”一般是木马经常加载的地方。再有,在system.ini中的[mic]、[drivers]、[drivers32]这3个字段主要是Windows操作系统来加载驱动程序,这也为添加木马程序提供了良好的场所。
3)在autoexec.bat和config.sys中启动。在硬盘的第一个引导分区(一般为C:分区)下存放着autoexec.bat和config.sys两个系统批处理和配置文件,这两个文件也是木马经常实现自运行的地方。
4)在Windows启动组中启动。如果用户要在Windows操作系统启动时自动启动某一个程序,就可以将其添加到“开始→程序→启动”组中,所以Windows的启动组也成为木马经常选择的驻留之地。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置为HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell Folders中的 Startup,如图6-21所示。
5)修改文件关联。木马本身无法方便地实现自启动,就需要借助其他合法程序来完成,将这一过程称为文件关联。例如,在Windows下我们经常使用“记事本”工具(notepad.exe)来打开文本文件,但是如果被木马修改了notepad.exe的关联后,当我们打开.txt的文本文件时,将会自动运行木马程序,著名的国产木马冰河就是以这种方式实现木马程序的启动的。在修改了notepad.exe的文件关联后,一旦用户在打开.txt文件时,就启动了木马程序。
6)捆绑文件。当控制端和服务端已通过木马建立了连接后,控制端通过工具软件将木马文件和某一应用程序捆绑在一起后上传到服务端,并覆盖服务端的同名文件,这样当已运行的木马被发现并删除后,只要运行了捆绑有木马的应用程序,木马就会再次运行。现在,每一台上网的计算机一般都安装在杀病毒软件,而杀病毒软件一般在系统启动后都在自动运行,并驻留内存。所以,如果将木马程序捆绑到杀病毒程序后,那么每次Windows启动均会启动木马,而且杀病毒软件一般也不会发现该木马。
7)嵌入到Web页面中。攻击者首先将挖矿木马植入到指定的网站(具有一定诱惑力的网站)的网页中,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马的站点,浏览器会即刻执行挖矿指令,从而沦为僵尸矿机,为攻击者提供算力,间接为其生产虚拟货币。
04、木马的防范方法
防范木马的过程,其实就是预先采取一定的措施来预防木马进入系统,即将木马阻止在计算机之外。
1.防止以电子邮件方式植入木马
目前电子邮件的使用已非常广泛,每一个使用Internet的用户几乎都拥有自己的电子信箱。为此,大量的木马便利用电子邮件来植入用户的计算机系统。
木马在电子邮件中的位置一般有两种:附件和正文。早期的电子邮件正文多使用文本,很显然在文本中是无法隐藏木马程序的,所以木马只能藏匿在电子邮件的附件中,而且还采取双后缀名方式。一旦用户打开了藏有木马的附件,就将木马植入到了系统中。为预防这类木马,建议用户不要随意打开来路不名的电子邮件的附件。如果确实要打开不确定来历的电子邮件附件时,建议先将其下载到指定的文件夹中,用杀病毒软件查杀病毒并用专用查杀木马工具扫描后再打开。
现在的电子邮件系统在正文中已直接支持图片、HTML页面等内容的显示,有些电子邮件系统还支持语音和视频。例如,当邮件正文中显示了HTML页面,并显示了一些链接时,一般不要点击这些链接。另外,HTML页面中本身也可以隐藏不安全的代码,一旦打开这类邮件,不知不觉中就已感染了计算机病毒或植入了木马。对于利用邮件正文传播的病毒和木马,唯一可行的预防方法是不要打开这类邮件,而将其直接删除。
2.防止在下载文件时植入木马
计算机网络的特点之一是提供了海量的信息和资源,其中包括一些软件。目前,很多网络用户已习惯于在网络上搜索和下载所需要的软件,但没有任何人能够保证网络上下载的软件是“干净”的。为了防止通过在网上下载文件时植入木马,建议服务器上安装的所有软件不要使用从网上下载的,对于客户机上使用的软件如果确实需要从网上下载时,建议先将软件下载后某一个指定的文件夹中,用杀病毒软件查杀病毒并用专用查杀木马工具扫描后再安装使用。
建议习惯于从网上下载软件的用户使用专用的下载工具(如FlashGet)来将文件下载到指定的文件夹中,同时把下载工具和杀病毒或查杀木马软件进行绑定,这样每当下载完一个文件后,下载工具便会利用已绑定的杀病毒或查杀木马软件对其进行自动扫描。以FlashGet为例,实现与杀病毒或查杀木马软件绑定的方法为:在FlashGet操作窗口中选择“工具→选项→文件管理”,在打开的如图6-22所示的对话框中选取“下载完毕后进行病毒检查”项,并单击“浏览”按钮,选择本机上已使用的杀病毒或查杀木马软件名称,同时选择“下载完毕后打开或者查看已下载的文件”项。
3.防止在浏览网页时植入木马
由于IE浏览器本身存在的缺陷,许多程序可以在用户不知情的情况下安装在系统中,这也为木马的值入提供了一条途径。加强IE的安全性,一方面是使用最新版本的IE软件,因为新版本的IE修改了老版本的许多不足,尤其在安全性方面得到了提高。同时,在使用任何一个IE时,都要及时升级Services Pack补丁程序,以修补IE存在的漏洞;另一方面是设置IE的设置属性,具体方法是在IE窗口中,选择“工具→Internet选项→安全”,打开如图6-23所示的对话框。选取安全设置对象栏中的“Internet”后,单击“自定义级别”,在打开的如图6-24所示的对话框中把“ActiveX控件和插件”下的选项全部设置为“禁用”,这样就阻止了IE自动下载和执行文件的可能性。
除此之外,还可以使用木马消除工具(如木马克星、木马分析专家、木马专家等)定期对计算机系统进行扫描。
05、视频讲解
视频教程如下:
