典型木马特征分类(转载,待整理)

现在的木马越来越变化多端,加密自身,规避杀毒软件甚至是令防病毒软件失效,隐藏自身等
下面,就说说我遇上的几种
第一种,李鬼装李奎式
这种木马最常见,例如网银大盗,它把自己的名字写成svch0st.exe,你不是十分仔细去看的话,跟svchost.exe是不是非常像呀,常见的名字还有kernel32.exe,sysexpr.exe,registry.exe等
有一次还遇到个更鬼的,名字叫smss .exe ,你一看,是WNIDOWS系统文件呀,结果,就放跑了他
有几次,遇到一个名字为smss.exe的,名字跟WINDOWS系统进程SMSS.EXE完全一致,在进程管理器中想杀掉它的时候,发现无法杀掉,提示是系统关键进程,两个SMSS.EXE进程都杀不掉,竟然利用跟关键进程相同的名字来达到保护自己的目的

第二种,百变金刚形,这种木马最讨厌,采用人海战术,他一感染的话,立即复制自身N个拷贝,结果是,你杀完一个文件,又感染,再杀,重启,还不干净,直到你找到所有文件,杀完,才OK,这种处理起来十分费时费力

第三种,钩子型,有些木马把自己的关键DLL钩在WINDOWS的某个应用上,例如IE上,像我上次查到的曾道人特码就是,一开始百思不得其解,该杀的都杀了,咋打开IE,还会出现"曾道人特码"这几个字呢,而且无法选中,看起来像是图片,但是,网址却是ABOUT:BLANK,开始怀疑是IE的默认页ABOUT:BLANK的DLL文件被替换了(ABOUTBLANK在其中),于是找到该文件,替换,打开了,还是有.思考了一下,打开IE主目录,发现有一个陌生的DLL文件,看签名,不是MS的,不明来历,想删,却删不掉.于是凭名字在注册表中找到其键,将其干掉,然后再进入安全模式删掉,重启,终于将其彻底干掉了

第四种,同归于尽型,这种木马,首先一般会将自己与某种类型的文件相关联,比如常见的EXE文件,或者TXT,或者干脆跟FOLDER文件类型关联,让你只要打开文件夹,就有机会运行它.更不妙的是,这种木马,千万别轻易将其干掉,得先杀进程,清理注删表,最后,再删掉其真身.如果你一杀掉进程,立即去删木马文件,那你再重启的时候,轻则提示EXE文件打不开,重则,连进入WINDOWS界面都不行

第五种,多头多身型 ,这种木马,一般不是单个文件,其次,会同时运行木马的不同名的多个副本,然后,它们还会监视注册表,防止你通过修改注册表切断其生存的机会,通常遇上这种木马,你结束了一个进程,修改一下注册表,以为完事了.可是,你重启,发现它又出来了.那就说明,它不光有一个真身,它可能有N个真身,互相照应,你光杀一个进程不行,得全部进程一起杀,然后再去改注册表,它就OVER了

第六种,反向联络型
一般我们想到木马,总是想到远程控制,总是想到种木马的人在某个角落用鼠标打开你的电脑,查找对他有价值的资料,或者对你的电脑进行破坏.我们总认为种木马的人会主动来找马.
但是,你错了.这种方式的木马,生命力极其脆弱,因为对于自外部连入的连接,防火墙可以轻而易举的拦掉,而且,防火墙只要阻塞掉外部种马人想要连接的端口就行了.对于那些通过NAT方式接入的用户来说,种马人连接的是路由器的IP,而路由器的大部分端口是关闭的,所以,是根本行不通的
但是,木马不一定非要等种马人跟他联络呀,有一部分木马,在种入的时候,允许种马人通过参数化的形式,设置外部种马人的联络方式(如EMAIL)或者设置外部接收服务器的联系方式.这种,木马就可以主动发起向外的连接,多数的防火墙对于向外的连接是宽松的,因此,被窃取的信息,就可以通过木马源源不断的发送到种马人指定的邮箱,FTP或其他位置.
其实,这个原理,跟TFTP一样,我们一般用FTP,FTP服务器的IP和端口是固定的,而客户机是不固定的,但是TFTP恰恰相板,服务器不需要固定IP和端口,只要客户机端口固定,它就可以以上载的形式,把客户端的内容上传到TFTP上来
这种反其道而行之的手法,往往出乎人的意料,杀伤力很大

第七种,透明型
有些木马是透明的,透明的意思是,你看不到木马文件,找不到木马的启动方式,看不到木马进程,甚至你连木马的端口也看不到,这个就可怕了吧,抓间谍也要有特性吧,这种木马非常少见,但威力惊人
像Hacker Defender就是一例,不信的话,你可以下载一个试试,你运行一次,然后自己去清理他,很难
这种木马首先会隐掉自己的真身,但是,它不是通过修改文件属性来实现的,因此,假如你妄想通过打开隐藏文件及系统文件查看的方式来看到它,你将会一无所获,如果用ATTRIB来看它的文件属性,它的属性为空,也就是说,没有AHSR中的任何一种属性
第二,它隐藏掉注册表中与自己相关的键,这样,当你搜索注册表,查看启动组时,你也是一无所获
第三,假如作为WINDOWS服务运行,它会隐藏自己在WINDOWS服务列表中的身影,防止你通过服务管理器来干掉它
第四,它可以隐藏掉指定的任务,包含自己本身,所以,无论你是用WINDOWS自身的TASKMANAGR也好,还是用NORTON的PROCESSVIEW,都休息找到它的身影
第五,它可以隐藏掉自己守候的端口,有些木马甚至不需要用特殊端口,它们利用一种叫作Redirec的技术来管道式处理请求,例如,它们将自己贴在WEBSERVER守候的端口上,当来自80端口的请求进入时,它查找特定特征,例如,连续256个字节内容相同之类的,如果找不到,就转发请求给IIS,如果找到,就自行处理请求.这样一来,好比自来水龙头上加装了过滤装置,对于一般用户来说,它们请求80端口看到了网页,对于种马人来说,它们通过80端口则监听了远程主机.是不是十分可怕?
以为我在说科幻故事?NO!本人遭遇过,就在最近!
这种木马,说实话,十分创意,不过,却也十分祸害.
假如种马人是位高手的话,它可以耐心的等待,慢慢的潜伏,收集他想要的东西而不露痕迹,另外,他愿意的话,再在其上打开代理,再利用受害主机攻击下一目标,都是十分容易的事
像Hacker Defender,如果有经验的攻击者,完全可以将其伪装到完全透明
他可以更改掉其服务名,更改成一个长的,类似WINDOWS服务的名称,为其写上看似正规的说明,只要不用默认的服务名启动,那么,你不知道其服务名,就无法停止其服务,就算你启动到急救模式,用LISTSVC来列表服务,可是,它完全可以通过其冠冕堂皇的名称将你骗过

总之,最后这种木马,千万千万小心

posted @ 2006-04-27 15:10 奴蒙教学 阅读(...) 评论(...) 编辑 收藏