越来越多的人对木马的了解和防范意识的加强在一定程度上抑制了木马传播,为此,木马设计者开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
下面就来详细了解木马的常用伪装方法。
1.修改图标
现在有些木马可以将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标,这就具备了相当大的迷惑性。不过,目前提供这种功能的木马还很少见,并且这种伪装也极易识破,所以完全不必担心。
2.冒充图片文件
这是许多黑客常用来欺骗别人执行木马的方法,就是将木马伪装成图像文件,比如照片等,应该说这样是最不合逻辑的,但却使最多人中招。只要入侵者扮成“美眉”及更改服务端程序的文件名为类似图像文件的名称,再假装传送照片给受害者,受害者就会立刻执行它。
3.文件捆绑
恶意捆绑文件伪装手段是将木马捆绑到一个安装程序上,当用户在进行该程序安装时,木马就偷偷地潜入系统。被捆绑的文件一般是可执行文件(即EXE、COM一类的文件)。这样做对一般人的迷惑性很大,而且即使他以后重装系统了,如果他的系统中还保存了那个“游戏”,就有可能再次中招。
4.出错信息显示(www.xing528.com)
众所周知,当在打开一个文件时如果没有任何反应,很可能这个文件就是一个木马程序。为规避这一缺陷,已有设计者为木马提供了一个出错显示功能。该功能允许在服务端用户打开木马程序时,弹出一个假的出错信息提示框(内容可自由定义),诸如“文件已破坏,无法打开!”,当服务端用户信以为真时,木马已经悄悄侵入系统。
5.把木马伪装成文件夹
把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套上三四个空文件夹,很多人出于连续点击的习惯,点击到那个伪装成文件夹木马时,也会收不住鼠标而继续点击,这样木马就成功运行了。识别方法:不要隐藏系统中已知文件类型的扩展名称。
6.给木马服务端程序更名
木马服务端程序的命名有很大的学问。如果不做任何修改,就使用原来的名字,谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪。不过大多是改为与系统文件名差不多的名字,如果用户对系统文件不够了解可就危险了。例如有的木马把名字改为window.exe,还有的就更改一些后缀名,比如把dll改为d11等(注意是数字“11”而非英文字母“ll”)等。
7.自我销毁
由于在服务端用户打开含有木马的文件后,木马会将自己复制到Windows的系统文件夹中(一般位于C:\Windows\system)。一般来说,原木马文件和系统文件夹中的木马文件大小一样(捆绑文件的木马除外),只要在近来收到的信件和下载的软件中找到原木马文件,再根据原木马的大小在系统文件夹中查找相同大小的文件,判断哪个是木马文件即可。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
