木马程序(病毒)
Posted 仲瑿
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了木马程序(病毒)相关的知识,希望对你有一定的参考价值。
木马的由来
"特洛伊木马"(trojan horse)简称"木马",据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将"木马"作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为"特洛伊木马"。如今黑客程序借用其名,有"一经潜入,后患无穷"之意。
完整的木马程序一般由两个部分组成:一个是服务器端,一个是控制器端。"中了木马"就是指安装了木马的客户端程序,若您的电脑被安装了客户端程序,则拥有相应服务器端的人就可以通过网络控制您的电脑、为所欲为,这时您电脑上的各种文件、程序,以及在您电脑上使用的账号、密码就无安全可言了。他甚至可以删除用户的所有文件、格式化硬盘。
木马程序类型
后门木马
它们是最简单、但可能最危险的木马类型之一。这是因为,它们可以作为网关,将各种恶意软件加载到您的系统中,或者,至少可以确保您的计算机变得容易遭受攻击。后门经常用来建立僵尸网络。在您不知情的情况下,您的计算机成为僵尸网络的一部分,被用来发起攻击。此外,后门可以允许在您的设备上执行代码和命令,或监控您的 Web流量。
漏洞利用程序
漏洞利用程序是包含数据或代码的程序,以利用您计算机上的应用程序的漏洞。
Rootkit
Rootkit 设计用于隐藏您系统中的特定对象或活动。通常它们的主要目的是防止恶意程序被检测到,从而延长程序在受感染计算机中的运行时间。
投放工具/下载工具木马
最著名的投放工具木马之一是 Emotet 恶意软件,它现在已经变得无害,但与后门木马相反,它不能在 PC 本身执行任何代码。相反,它带来了其他恶意软件,例如银行木马 Trickbot 和勒索软件 Ryuk。因此,投放工具与下载工具木马相似,不同的是,下载工具需要网络资源来从网络中提取恶意软件。投放工具本身已经在程序包中包含了其他恶意组件。这两种类型的木马都可以由负责操纵的程序员进行远程秘密更新,例如,这可以使病毒扫描工具无法通过新定义来检测这些木马。也可以通过这种方式添加新功能。
银行木马
银行木马是最普遍的木马之一。鉴于人们对网上银行的接受程度越来越高,以及一些用户存在粗心大意的情况,这种现象也就不足为奇了 - 它们是攻击者快速获取金钱的一种有效方法。他们的目标是获得银行帐户的访问凭据。为了做到这一点,他们使用了网络钓鱼技术,例如,将受害者发送到一个被操纵的页面,让他们输入访问凭据。因此,在使用网上银行时,您应确保使用安全的验证方法,比如,只使用相应银行的应用程序,而不要在 Web 界面上输入您的访问数据。
DDoS 木马
分布式拒绝服务 (DDoS) 攻击继续困扰着 Web。在这些攻击中,服务器或网络将被请求淹没,通常由僵尸网络发起这些请求。例如,在 2020 年 6 月中旬,。在超过三天的时间里,Amazon 的 Web 服务成为了攻击目标,数据吞吐量达到每秒 2.3 TB。必须使用一个巨大的僵尸网络才能达到这样的计算能力。可以这么说,僵尸网络由僵尸计算机组成。从表面上看,它们在正常运行,但暗地里,它们也在充当攻击者。原因在于,它包含一个带有后门组件的木马,它不知不觉地潜伏在计算机上,如有必要,它的操作者会激活它。如果僵尸网络攻击或 DDoS 攻击取得成功,网站、甚至整个网络都会变得无法访问。
虚假防病毒程序木马
虚假防病毒程序木马特别阴险。它们不是在提供保护,而是让每台设备陷入严重的麻烦。通过声称发现病毒,它们想在毫无戒心的用户中引起恐慌,并劝说他们付费购买有效的保护。但是,用户得到的不是有用的病毒扫描工具,而是面临更多问题,因为他们的支付数据被传送给木马的发起者,然后遭到进一步滥用。因此,如果您在访问一个网站时突然在浏览器中看到病毒警告,您应忽略此警告,而只信任您的系统病毒扫描工具。
Trojan-GameThief
这类程序会盗取在线游戏玩家的用户帐号信息。
Trojan-IM(即时消息)
Trojan-IM 程序可窃取您在 ICQ、MSN Messenger、AOL Instant Messenger、Yahoo Pager、Skype 等即时消息程序中的登录数据和密码。也许有人说,如今几乎没有人在使用这些即时消息程序。然而,即使是新的即时消息程序服务也不能免疫木马。Facebook Messenger、WhatsApp、Telegram 或 Signal 也可能成为木马的攻击目标。就在 2020 年 12 月,攻击者通过 Telegram 频道传播了一个 Windows 木马。即时消息也应受到保护,以防止危险的网络钓鱼攻击。
2018 年 1 月,Kaspersky 的安全研究人员发现了一个名为 Skygofree 的木马。该恶意软件具有极其先进的功能,例如,可以自行连接到 Wi-Fi 网络 - 即使用户已在其设备上停用该功能。Skygofree 木马还可以监控热门的即时消息程序服务 WhatsApp。它可以读取消息,也可以将其窃取。
Trojan-Ransom
这类木马会修改您计算机上的数据,从而导致您的计算机无法正常运行或您无法再使用特定数据。罪犯只会在您支付他们所要求的赎金后恢复您计算机的正常执行或解锁您的数据。
短信木马
它们可能看起来像是上世纪的遗物,但它们仍然在活跃,并构成了重大威胁。android 恶意软件 Faketoken 等短信木马可以通过不同的方式运行。例如,Faketoken 会向昂贵的国际号码发送大量短信,并在系统中把自己伪装成一个标准的短信应用程序。智能手机所有者必须为此支付费用。其他短信木马会建立与昂贵的付费短信服务的连接。
Trojan-Spy
Trojan-Spy 程序会通过例如记录您通过您的键盘输入的数据、进行截屏或者获取所运行应用程序的列表等方式来监视您使用计算机的方式。
Trojan-Mailfinder
这些程序会从您的计算机获取电子邮件地址。
此外,还有其他类型的木马:
- Trojan-ArcBomb
- Trojan-Clicker
- Trojan-Notifier
- Trojan-Proxy
- Trojan-PSW
特征
特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小,执行时不会浪费太多资源,因此没有使用杀毒软件是难以发觉的;执行时很难阻止它的行动,执行后,立刻自动登录在系统启动区,之后每次在Windows加载时自动执行;或立刻自动变更文件名,甚至隐形;或马上自动复制到其他文件夹中,执行连用户本身都无法执行的动作;或浏览器自动连入奇怪或特定的网页。
一旦安装,木马程序可能会执行一系列恶意行为。许多木马倾向于联系一个或多个命令与控制(C2)服务器并等待指令。由于个别的木马通常使用一组特定的端口进行通信,检测木马可能相对简单。此外,其他恶意软件可能会“接管”该木马,将其作为恶意行动的代理。
原理
一个完整的特洛伊木马套装程序包含两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送资料(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。
特洛伊木马程序不能自动操作, 一个特洛伊木马程序是包含或者安装一个存心不良的程序,它可能看起来是有用或者有趣的项目(或者至少无害)对一不怀疑的用户来说,但是实际上有害当它被执行。 特洛伊木马不会自动执行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户执行文档程序时,特洛伊木马才会运行,信息或文档才会被破坏和丢失。 特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。
特洛伊木马分为两种,“Universal”和“Transitive”,“Universal”是可以控制,“Transitive”是无法控制,刻死的操作。
解决办法
特洛伊木马大部分可以被杀毒软件识别清除。但很多时候,需要用户去手动清除某些文件,注册表项等。 不具有破坏防火墙功能的木马可以被防火墙拦截。
Atitit.病毒木马程序的感染 传播扩散 原理
Atitit.病毒木马程序的感染 传播扩散 原理
1. 从木马的发展史考虑,木马可以分为四代
。第一代木马功能简单,主要对付Unix系统,而Windows系统中的木马只有B0等几款;第二代木马功能大大加强,几乎能够进行所有的操作,如B02000、冰河等。第三代木马继续完善连接和文件传输技术,并增加了木马穿透防火墙的功能,并出现了“反弹端口”技术,如本文即将引用的灰鸪子等。第四代木马除完善了前辈们所有的技术外,还增加了进程隐藏技术,使系统更加难以发现木马的存在与入侵的连接
2. 木马有两大类,远程控制 vs 自我复制传播
一类主要用于远程控制,因此,也可以将其用于帮助网管远程管理汁算机;二类是恶意的木马程序,它除了可以远程控制外,还会恶意传播病毒。
作者:: 绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 ) 汉字名:艾龙, EMAIL:1466519819@qq.com
转载请注明来源: http://www.cnblogs.com/attilax/
3. 自我复制
自我复制的条件 要判断是否已经在有复制进程了,需要避免多进程复制,以至于消耗过多的cpu and io and mem
3.1. 需要知道当前cpu核心数量
3.2. Cpu占用百分比
3.3. Io占用百分比
3.4. 内存占用百分率
4. 通过email传播扩散
5. 通过qq等sns im软件传播扩散
6. Bbs 论坛网站传播扩散
7. 捆绑下载软件扩散
8. 局域网扩散感染
9. 利用系统或软件漏洞;
10. 隐藏自身技术
从最初最简单的一般属性隐藏,到现在的DLL进程隐藏和驱动级DRV,从OSI结构来看,DRV就快到底了,下一步应该是所有知识的综合运用了。从技术角度,系统永远都有漏洞,所以杀毒软件永远都有事做。
10.1. 在任务栏中隐藏自己
木马程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的。只要在编程时把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中
10.2. 进程隐藏
隐藏进程
对于本机病毒或木马本身,隐藏进程应该是病毒木马的终极表现形式了,所以无论病毒部署的过程有多复杂,最终无非两种:
A、非独立进程下的DLL、DRV.....挂载
B、感染系统文件之后自我毁灭掉,病毒与正常文件合二为一
10.3. 修改图标
10.4. 捆绑文件
10.5. 文件夹惯性点击
把木马程序使用文件夹图标并放在一个多层目录,接着再在外面“套”三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹的木马时,也会收不住鼠标点下去,这样木马就成功运行了。
10.6. 1、隐藏文件
该项技术本来面向是方便用户操作的,为保护系统或重要文件不被用户误操作删除,一直到现在重要的系统文件也在使用,但似乎总是没病毒木马程序“发挥”的更好,目前病毒大都是把隐藏作为第一步基础技术并结合最新技术使用,当然明目张胆不隐藏狂挥大刀的也大有毒在,因为病毒执行过程时间非常短暂,只需要让杀毒软件和防火墙先休克一下,事情做完后可以再次放开,木马已经布局完毕,挂下DLL或DRV,原木马布局程序也就不再需要了。
10.7. 隐藏窗口
隐藏病毒木马的感染部署与常用处理方法.htm
以上是关于木马程序(病毒)的主要内容,如果未能解决你的问题,请参考以下文章