木馬種類

時(shí)間：2022-02-14 06:30:01 | 來(lái)源：信息時(shí)代

時(shí)間：2022-02-14 06:30:01 來(lái)源：信息時(shí)代

網(wǎng)游木馬

隨著網(wǎng)絡(luò)在線游戲的普及和升溫，中國(guó)擁有規(guī)模龐大的網(wǎng)游玩家。網(wǎng)絡(luò)游戲中的金錢(qián)、裝備等虛擬財(cái)富與現(xiàn)實(shí)財(cái)富之間的界限越來(lái)越模糊。與此同時(shí)，以盜取網(wǎng)游帳號(hào)密碼為目的的木馬病毒也隨之發(fā)展泛濫起來(lái)。網(wǎng)絡(luò)游戲木馬通常采用記錄用戶鍵盤(pán)輸入、Hook游戲進(jìn)程API函數(shù)等方法獲取用戶的密碼和帳號(hào)。竊取到的信息一般通過(guò)發(fā)送電子郵件或向遠(yuǎn)程腳本程序提交的方式發(fā)送給木馬作者。網(wǎng)絡(luò)游戲木馬的種類和數(shù)量，在國(guó)產(chǎn)木馬病毒中都首屈一指。流行的網(wǎng)絡(luò)游戲無(wú)一不受網(wǎng)游木馬的威脅。一款新游戲正式發(fā)布后，往往在一到兩個(gè)星期內(nèi)，就會(huì)有相應(yīng)的木馬程序被制作出來(lái)。大量的木馬生成器和黑客網(wǎng)站的公開(kāi)銷售也是網(wǎng)游木馬泛濫的原因之一。

網(wǎng)銀木馬

網(wǎng)銀木馬是針對(duì)網(wǎng)上交易系統(tǒng)編寫(xiě)的木馬病毒，其目的是盜取用戶的卡號(hào)、密碼，甚至安全證書(shū)。此類木馬種類數(shù)量雖然比不上網(wǎng)游木馬，但它的危害更加直接，受害用戶的損失更加慘重。網(wǎng)銀木馬通常針對(duì)性較強(qiáng)，木馬作者可能首先對(duì)某銀行的網(wǎng)上交易系統(tǒng)進(jìn)行仔細(xì)分析，然后針對(duì)安全薄弱環(huán)節(jié)編寫(xiě)病毒程序。2013年，安全軟件電腦管家截獲網(wǎng)銀木馬最新變種'弼馬溫'，弼馬溫病毒能夠毫無(wú)痕跡的修改支付界面，使用戶根本無(wú)法察覺(jué)。通過(guò)不良網(wǎng)站提供假Q(mào)VOD下載地址進(jìn)行廣泛傳播，當(dāng)用戶下載這一掛馬播放器文件安裝后就會(huì)中木馬，該病毒運(yùn)行后即開(kāi)始監(jiān)視用戶網(wǎng)絡(luò)交易，屏蔽余額支付和快捷支付，強(qiáng)制用戶使用網(wǎng)銀，并借機(jī)篡改訂單，盜取財(cái)產(chǎn)。隨著中國(guó)網(wǎng)上交易的普及，受到外來(lái)網(wǎng)銀木馬威脅的用戶也在不斷增加。

下載類

這種木馬程序的體積一般很小，其功能是從網(wǎng)絡(luò)上下載其他病毒程序或安裝廣告軟件。由于體積很小，下載類木馬更容易傳播，傳播速度也更快。通常功能強(qiáng)大、體積也很大的后門(mén)類病毒，如'灰鴿子'、'黑洞'等，傳播時(shí)都單獨(dú)編寫(xiě)一個(gè)小巧的下載型木馬，用戶中毒后會(huì)把后門(mén)主程序下載到本機(jī)運(yùn)行。

代理類

用戶感染代理類木馬后，會(huì)在本機(jī)開(kāi)啟HTTP、SOCKS等代理服務(wù)功能。黑客把受感染計(jì)算機(jī)作為跳板，以被感染用戶的身份進(jìn)行黑客活動(dòng)，達(dá)到隱藏自己的目的。

FTP木馬

FTP型木馬打開(kāi)被控制計(jì)算機(jī)的21號(hào)端口(FTP所使用的默認(rèn)端口)，使每一個(gè)人都可以用一個(gè)FTP客戶端程序來(lái)不用密碼連接到受控制端計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳和下載，竊取受害者的機(jī)密文件。新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道正確的密碼，從而進(jìn)入對(duì)方計(jì)算機(jī)。

通訊軟件類

國(guó)內(nèi)即時(shí)通訊軟件百花齊放。QQ、新浪UC、網(wǎng)易泡泡、盛大圈圈……網(wǎng)上聊天的用戶群十分龐大。常見(jiàn)的即時(shí)通訊類木馬一般有3種：

a、發(fā)送消息型通過(guò)即時(shí)通訊軟件自動(dòng)發(fā)送含有惡意網(wǎng)址的消息，目的在于讓收到消息的用戶點(diǎn)擊網(wǎng)址中毒，用戶中毒后又會(huì)向更多好友發(fā)送病毒消息。此類病毒常用技術(shù)是搜索聊天窗口，進(jìn)而控制該窗口自動(dòng)發(fā)送文本內(nèi)容。發(fā)送消息型木馬常常充當(dāng)網(wǎng)游木馬的廣告，如'武漢男生2005'木馬，可以通過(guò)MSN、QQ、UC等多種聊天軟件發(fā)送帶毒網(wǎng)址，其主要功能是盜取傳奇游戲的帳號(hào)和密碼。

b、盜號(hào)型主要目標(biāo)在于即時(shí)通訊軟件的登錄帳號(hào)和密碼。工作原理和網(wǎng)游木馬類似。病毒作者盜得他人帳號(hào)后，可能偷窺聊天記錄等隱私內(nèi)容，在各種通訊軟件內(nèi)向好友發(fā)送不良信息、廣告推銷等語(yǔ)句，或?qū)ぬ?hào)賣(mài)掉賺取利潤(rùn)。

c、傳播自身型2005年初，'MSN性感雞'等通過(guò)MSN傳播的蠕蟲(chóng)泛濫了一陣之后，MSN推出新版本，禁止用戶傳送可執(zhí)行文件。2005年上半年，'QQ龜'和'QQ愛(ài)蟲(chóng)'這兩個(gè)國(guó)產(chǎn)病毒通過(guò)QQ聊天軟件發(fā)送自身進(jìn)行傳播，感染用戶數(shù)量極大，在江民公司統(tǒng)計(jì)的2005年上半年十大病毒排行榜上分列第一和第四名。從技術(shù)角度分析，發(fā)送文件類的QQ蠕蟲(chóng)是以前發(fā)送消息類QQ木馬的進(jìn)化，采用的基本技術(shù)都是搜尋到聊天窗口后，對(duì)聊天窗口進(jìn)行控制，來(lái)達(dá)到發(fā)送文件或消息的目的。只不過(guò)發(fā)送文件的操作比發(fā)送消息復(fù)雜很多。

網(wǎng)頁(yè)點(diǎn)擊類

網(wǎng)頁(yè)點(diǎn)擊類木馬會(huì)惡意模擬用戶點(diǎn)擊廣告等動(dòng)作，在短時(shí)間內(nèi)可以產(chǎn)生數(shù)以萬(wàn)計(jì)的點(diǎn)擊量。病毒作者的編寫(xiě)目的一般是為了賺取高額的廣告推廣費(fèi)用。此類病毒的技術(shù)簡(jiǎn)單，一般只是向服務(wù)器發(fā)送HTTPGET請(qǐng)求。

破壞型

惟一的功能就是破壞并且刪除文件，可以自動(dòng)的刪除電腦上的DLL、INI、EXE文件。

密碼發(fā)送型

可以找到隱藏密碼并把它們發(fā)送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計(jì)算機(jī)中，認(rèn)為這樣方便；還有人喜歡用WINDOWS提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。許多黑客軟件可以尋找到這些文件，把它們送到黑客手中。也有些黑客軟件長(zhǎng)期潛伏，記錄操作者的鍵盤(pán)操作，從中尋找有用的密碼。

在這里提醒一下，不要認(rèn)為自己在文檔中加了密碼而把重要的保密文件存在公用計(jì)算機(jī)中，那你就大錯(cuò)特錯(cuò)了。別有用心的人完全可以用窮舉法暴力破譯你的密碼。利用WINDOWSAPI函數(shù)EnumWindows和EnumChildWindows對(duì)當(dāng)前運(yùn)行的所有程序的所有窗口（包括控件）進(jìn)行遍歷，通過(guò)窗口標(biāo)題查找密碼輸入和出確認(rèn)重新輸入窗口，通過(guò)按鈕標(biāo)題查找我們應(yīng)該單擊的按鈕，通過(guò)ES_PASSWORD查找我們需要鍵入的密碼窗口。向密碼輸入窗口發(fā)送WM_SETTEXT消息模擬輸入密碼，向按鈕窗口發(fā)送WM_COMMAND消息模擬單擊。在破解過(guò)程中，把密碼保存在一個(gè)文件中，以便在下一個(gè)序列的密碼再次進(jìn)行窮舉或多部機(jī)器同時(shí)進(jìn)行分工窮舉，直到找到密碼為止。此類程序在黑客網(wǎng)站上唾手可得，精通程序設(shè)計(jì)的人，完全可以自編一個(gè)。

遠(yuǎn)程訪問(wèn)型

最廣泛的是特洛伊馬，只需有人運(yùn)行了服務(wù)端程序，如果客戶知道了服務(wù)端的IP地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制。以下的程序可以實(shí)現(xiàn)觀察'害者'正在干什么，當(dāng)然這個(gè)程序完全可以用在正道上的，比如監(jiān)視學(xué)生機(jī)的操作。程序中用的UDP（UserDatagramProtocol，用戶報(bào)文協(xié)議）是因特網(wǎng)上廣泛采用的通信協(xié)議之一。與TCP協(xié)議不同，它是一種非連接的傳輸協(xié)議，沒(méi)有確認(rèn)機(jī)制，可靠性不如TCP，但它的效率卻比TCP高，用于遠(yuǎn)程屏幕監(jiān)視還是比較適合的。它不區(qū)分服務(wù)器端和客戶端，只區(qū)分發(fā)送端和接收端，編程上較為簡(jiǎn)單，故選用了UDP協(xié)議。本程序中用了DELPHI提供的TNMUDP控件。

鍵盤(pán)記錄木馬

這種特洛伊木馬是非常簡(jiǎn)單的。它們只做一件事情，就是記錄受害者的鍵盤(pán)敲擊并且在LOG文件里查找密碼。據(jù)筆者經(jīng)驗(yàn)，這種特洛伊木馬隨著Windows的啟動(dòng)而啟動(dòng)。它們有在線和離線記錄這樣的選項(xiàng)，顧名思義，它們分別記錄你在線和離線狀態(tài)下敲擊鍵盤(pán)時(shí)的按鍵情況。也就是說(shuō)你按過(guò)什么按鍵，下木馬的人都知道，從這些按鍵中他很容易就會(huì)得到你的密碼等有用信息，甚至是你的信用卡賬號(hào)哦!當(dāng)然，對(duì)于這種類型的木馬，郵件發(fā)送功能也是必不可少的。

DOS攻擊木馬

隨著DoS攻擊越來(lái)越廣泛的應(yīng)用，被用作DoS攻擊的木馬也越來(lái)越流行起來(lái)。當(dāng)你入侵了一臺(tái)機(jī)器，給他種上DoS攻擊木馬，那么日后這臺(tái)計(jì)算機(jī)就成為你DoS攻擊的最得力助手了。你控制的肉雞數(shù)量越多，你發(fā)動(dòng)DoS攻擊取得成功的機(jī)率就越大。所以，這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，而是體現(xiàn)在攻擊者可以利用它來(lái)攻擊一臺(tái)又一臺(tái)計(jì)算機(jī)，給網(wǎng)絡(luò)造成很大的傷害和帶來(lái)?yè)p失。還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機(jī)器被感染，木馬就會(huì)隨機(jī)生成各種各樣主題的信件，對(duì)特定的郵箱不停地發(fā)送郵件，一直到對(duì)方癱瘓、不能接受郵件為止。

程序殺手木馬

上面的木馬功能雖然形形色色，不過(guò)到了對(duì)方機(jī)器上要發(fā)揮自己的作用，還要過(guò)防木馬軟件這一關(guān)才行。常見(jiàn)的防木馬軟件有ZoneAlarm，NortonAnti-Virus等。程序殺手木馬的功能就是關(guān)閉對(duì)方機(jī)器上運(yùn)行的這類程序，讓其他的木馬更好地發(fā)揮作用。

反彈端口型木馬

木馬是木馬開(kāi)發(fā)者在分析了防火墻的特性后發(fā)現(xiàn):防火墻對(duì)于連入的鏈接往往會(huì)進(jìn)行非常嚴(yán)格的過(guò)濾，但是對(duì)于連出的鏈接卻疏于防范。于是，與一般的木馬相反，反彈端口型木馬的服務(wù)端(被控制端)使用主動(dòng)端口，客戶端(控制端)使用被動(dòng)端口。木馬定時(shí)監(jiān)測(cè)控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動(dòng)連結(jié)控制端打開(kāi)的主動(dòng)端口;為了隱蔽起見(jiàn)，控制端的被動(dòng)端口一般開(kāi)在80，即使用戶使用掃描軟件檢查自己的端口，發(fā)現(xiàn)類似TCPUserIP:1026ControllerIP:80ESTABLISHED的情況，稍微疏忽一點(diǎn)，你就會(huì)以為是自己在瀏覽網(wǎng)頁(yè)。