木马全称为特洛伊木马(Trojan Horse,Trojan)。在古希腊的神话故事中,希腊人围攻特洛伊城,久久不能得手。希腊人想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。
在计算机安全学中,特洛伊木马是指隐藏在正常程序中的具有特殊功能的恶意代码,它是具备破坏、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机中,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1.初识特洛伊木马
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得远程访问和控制系统的权限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是可以定制的,可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,还可以设置登录服务器的密码、确定通信方式。
服务器向攻击者通知的方式可能是发送一个E-mail,宣告自己当前已成功接管的机器;或者可能是联系某个隐藏的Internet交流通道,广播被侵占机器的IP地址。另外,当特洛伊木马的服务器部分启动之后,它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在它控制之下的特洛伊木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。实际上,只要用一个预先定义好的关键词,就可以让所有被入侵的机器格式化自己的硬盘,或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器,然后针对某一要害主机发起分布式拒绝服务攻击(Denial of Service,DoS),当受害者觉察到网络要被异乎寻常的通信量淹没,试图找出攻击者时,他只能追踪到大批懵然不知,同样也是受害者的DSL或线缆调制解调器用户,真正的攻击者早就溜之大吉。
2.“冰河”木马
“冰河”木马采用木马的传统连接技术,包含两个文件:G_Client.exe和G_Server.exe。
G_Client.exe是监控端执行程序,可以用于监控远程计算机和配置服务器,G_Serv-er.exe是被监控端后台监控程序。
冰河木马的功能:
1)自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)。
2)记录各种口令信息,包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。(www.xing528.com)
3)获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。
4)限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。
5)远程文件操作:包括创建、上传、下载、复制、删除文件或目录,文件压缩,快速浏览文本文件,远程打开文件(正常方式、最小化、最大化、隐藏方式)等多项文件操作功能。
6)注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。
7)发送信息:以四种常用图标向被控端发送简短信息。
3.广外男生木马
广外男生是广外程序员网络(前广外女生网络小组)精心制作的一款远程控制软件,是一个专业级的远程控制以及网络监控工具。
广外男生客户端模仿Windows资源管理器,除了全面支持访问远程服务器文件系统,也同时支持通过对方的“网上邻居”,访问对方内部网其他机器。
广外男生的大小是871KB,使用平台为Win9x/Me/NT/2000/XP,而且不再支持传统的连接方式。它运用了“反弹窗口”技术并采用基于“广外幽灵”的先进线程插入技术,所有网络操作均插入到其他应用程序的进程中完成,服务端运行时没有进程,使中木马者在进程管理中无法发现(但用Windows优化大师可以发现),用户也无法结束进程。即使受控端安装的防火墙拥有“应用程序访问权限”的功能,也不能对广外男生的服务端进行有效的警告和拦截,使对方的防火墙形同虚设。
中了该木马后,在C盘的system32目录下产生gwboy.exe和gwboydll.dll两文件。其中gwboy.exe是连接注册表中的复活启动项目,gwboydll.dll是实现线程插入技术的主文件。广外男生在种到被盗者机器上后,会在每次启动时自动记录键盘动作,并把动作转化成函数值返还密码到指定邮箱里去实现盗号目的。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
