特洛伊木马病毒分析.doc

补充章之二特洛伊木马

一般木马程序都包括客户端和服务端两个程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。攻击者要通过木马攻击你的系统,他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。
植入途径:利用的途径有
(1)邮件附件:谎称这个木马执行文件,是你朋友送给你贺卡等。
(2)下载软件:软件下载往往是捆绑了木马的文件。一般木马执行文件非常小,大部分都是几K到几十K。把木马捆绑到其它正常文件上很难发现。
(3)脚本语言:利用Script、ActiveX、ASP、CGI交互脚本的方式植入,由于微软的浏览器在执行Script脚本存在一些漏洞。攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。例如:前不久出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面;攻击者还可把木马执行文件下载到攻击主机的一个可执行I程序而在被攻击主机上执行木马目录。
(4)系统的一些漏洞:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可使IIS服务器崩溃,并同时攻击服务器,执行远程木马执行文件。
服务端程序在被感染机器上成功运行以后,攻击者就可利用客户端建立与服务端的连接,进一步控制被感染的机器。绝大多数木马在客户端和服务端之间使用TCP/IP协议,但是也有一些木马由于特殊的原因,使用UDP协议进行通讯。服务端在被感染机器上运行后,它一方面尽量把自己隐藏在计算机的某个角落里面,以防被用户发现;同时监听某个特定的端口,等待客户端与其进行连接;另外,为了下次重启计算机时仍然能正常工作,木马程序一般会通过修改注册表或其它方法,让自己成为自启动程序。

(1)在任务栏里隐藏
这是最基本的隐藏方式,即在windows的任务栏里会出现一个莫名其妙的图标。编程很容易实现在任务栏中隐藏。以VB为例,在VB中只要把form的Visible属性设置为False、ShowInTaskBar设为False程序就不会出现在任务栏里了。
(2)在任务管理器里隐藏
按Ctrl+Alt+Del打开任务管理器,可查看正运行的进程。木马会千方百计地伪装自己,使自己不出现在任务管理器里。木马把自己设为“系统服务”就可以轻松地隐藏在任务管理器中。
(3)使用高端口
一台机器有65536个端口,1024以下端口是系统常用端口,占用这些端口可能造成系统工作不正常,木马就会很容易暴露。故大多数木马使用1024以上的端口,且呈现越来越大的趋势;有些木马会选择常用的端口,如80、23;而非常先进的木马还可以占领80HTTP端口,收到正常的HTTP请求后仍把它交给Web服务器处理,只有收到一些特殊约定的数据包后,才调用木马程序
接收。现在木马都提供端口修改功能,你必须花很长时间来扫描65536个端口。
(4)隐藏通讯
任何木马运行后都要和攻击者进行通讯连接:或通过即时连接,如攻击者通过客户端直接接人被植入木马的主机;或通过间接通讯,如通过电子邮件的方式,把侵入主机的敏感信息送给攻击者。
(5)最新隐身技术
在Win9x时代,简单地注册为系统进程就可以从任务栏中消失;但在Windows 2000中,注册为系统进程不仅仅能