木馬運(yùn)行方式及過程

時間：2022-02-14 06:40:02 | 來源：信息時代

時間：2022-02-14 06:40:02 來源：信息時代

服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后,木馬就會自動進(jìn)行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),然后在注冊表,啟動組,非啟動組中設(shè)置好木馬的觸發(fā)條件,這樣木馬的安裝就完成了。安裝后就可以啟動木馬了，具體過程見下文：

1)由自啟動激活木馬。自啟動木馬的條件,大致出現(xiàn)在下面6個地方:注冊表:打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五個以Run和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。

WIN.INI:C:WINDOWS目錄下有一個配置文件win.ini，用文本方式打開，在字段中有啟動命令load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。

SYSTEM.INI:C:WINDOWS目錄下有個配置文件system.ini，用文本方式打開，在,,中有命令行,在其中尋找木馬的啟動命令。

Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后，將已添加木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這兩個文件才行。

.INI:即應(yīng)用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點(diǎn)，將制作好的帶有木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動木馬的目的了。

啟動菜單:在'開始---程序---啟動'選項(xiàng)下也可能有木馬的觸發(fā)條件。

2)由觸發(fā)式激活木馬注冊表:打開HKEY_CLASSES_ROOT文件類型/shellopencommand主鍵,查看其鍵值。舉個例子,國產(chǎn)木馬'冰河'就是修改HKEY_CLASSES_ROOTxtfileshellopencommand下的鍵值,將'C:WINDOWSNOTEPAD.EXE%1'該為'C:WINDOWSSYSTEMSYXXXPLR.EXE%1'，這時你雙擊一個TXT文件后，原本應(yīng)用NOTEPAD打開文件的，現(xiàn)在卻變成啟動木馬程序了。還要說明的是不光是TXT文件，通過修改HTML，EXE，ZIP等文件的啟動命令的鍵值都可以啟動木馬，不同之處只在于'文件類型'這個主鍵的差別，TXT是txtfile,ZIP是WINZIP，大家可以試著去找一下。

捆綁文件:實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋原文件,這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會被安裝上去了。

自動播放式:自動播放本是用于光盤的，當(dāng)插入一個電影光盤到光驅(qū)時，系統(tǒng)會自動播放里面的內(nèi)容，這就是自動播放的本意，播放什么是由光盤中的AutoRun.inf文件指定的，修改AutoRun.inf中的open一行可以指定在自動播放過程中運(yùn)行的程序。后來有人用于了硬盤與U盤，在U盤或硬盤的分區(qū)，創(chuàng)建Autorun.inf文件，并在Open中指定木馬程序，這樣當(dāng)你打開硬盤分區(qū)或U盤時，就會觸發(fā)木馬程序的運(yùn)行。木馬作者還在不斷尋找'可乘之機(jī)'這里只是舉例，又有不斷的自啟動的地方被挖掘出來。

木馬運(yùn)行過程:木馬被激活后，進(jìn)入內(nèi)存，并開啟事先定義的木馬端口，準(zhǔn)備與控制端建立連接。這時服務(wù)端用戶可以在MS-DOS方式下，鍵入NETSTAT-AN查看端口狀態(tài)，一般個人電腦在脫機(jī)狀態(tài)下是不會有端口開放的，如果有端口開放，你就要注意是否感染木馬了。下面是電腦感染木馬后，用NETSTAT命令查看端口的兩個實(shí)例：

其中1是服務(wù)端與控制端建立連接時的顯示狀態(tài)，2是服務(wù)端與控制端還未建立連接時的顯示狀態(tài).在上網(wǎng)過程中要下載軟件，發(fā)送信件，網(wǎng)上聊天等必然打開一些端口，下面是一些常用的端口：

1---1024之間的端口：這些端口叫保留端口，是專給一些對外通訊的程序用的，如FTP使用21，SMTP使用25，POP3使用110等。只有很少木馬會用保留端口作為木馬端口的。

1025以上的連續(xù)端口：在上網(wǎng)瀏覽網(wǎng)站時，瀏覽器會打開多個連續(xù)的端口下載文字，圖片到本地硬盤上，這些端口都是1025以上的連續(xù)端口。

4000端口：這是OICQ的通訊端口。

6667端口：這是IRC的通訊端口。除上述的端口基本可以排除在外，如發(fā)現(xiàn)還有其它端口打開，尤其是數(shù)值比較大的端口，那就要懷疑是否感染了木馬，當(dāng)然如果木馬有定制端口的功能，那任何端口都有可能是木馬端口。

信息泄露

一般來說，設(shè)計成熟的木馬都有一個信息反饋機(jī)制。所謂信息反饋機(jī)制是指木馬成功安裝后會收集一些服務(wù)端的軟硬件信息，并通過E-MAIL，IRC或ICO的方式告知控制端用戶。從反饋信息中控制端可以知道服務(wù)端的一些軟硬件信息，包括使用的操作系統(tǒng)，系統(tǒng)目錄，硬盤分區(qū)況，系統(tǒng)口令等，在這些信息中，最重要的是服務(wù)端IP，因?yàn)橹挥械玫竭@個參數(shù)，控制端才能與服務(wù)端建立連接。

建立連接

一個木馬連接的建立首先必須滿足兩個條件：

一是服務(wù)端已安裝了木馬程序；

二是控制端，服務(wù)端都要在線。在此基礎(chǔ)上控制端可以通過木馬端口與服務(wù)端建立連接。

假設(shè)A機(jī)為控制端，B機(jī)為服務(wù)端，對于A機(jī)來說要與B機(jī)建立連接必須知道B機(jī)的木馬端口和IP地址，由于木馬端口是A機(jī)事先設(shè)定的，為已知項(xiàng)，所以最重要的是如何獲得B機(jī)的IP地址。獲得B機(jī)的IP地址的方法主要有兩種：信息反饋和IP掃描。對于前一種已在上一節(jié)中已經(jīng)介紹過了,不再贅述，我們重點(diǎn)來介紹IP掃描，因?yàn)锽機(jī)裝有木馬程序，所以它的木馬端口7626是處于開放狀態(tài)的，所以現(xiàn)在A機(jī)只要掃描IP地址段中7626端口開放的主機(jī)就行了，例如圖中B機(jī)的IP地址是202.102.47.56，當(dāng)A機(jī)掃描到這個IP時發(fā)現(xiàn)它的7626端口是開放的，那么這個IP就會被添加到列表中，這時A機(jī)就可以通過木馬的控制端程序向B機(jī)發(fā)出連接信號，B機(jī)中的木馬程序收到信號后立即作出響應(yīng)，當(dāng)A機(jī)收到響應(yīng)的信號后，開啟一個隨即端口1031與B機(jī)的木馬端口7626建立連接，到這時一個木馬連接才算真正建立。值得一提的要掃描整個IP地址段顯然費(fèi)時費(fèi)力，一般來說控制端都是先通過信息反饋獲得服務(wù)端的IP地址，由于撥號上網(wǎng)的IP是動態(tài)的，即用戶每次上網(wǎng)的IP都是不同的，但是這個IP是在一定范圍內(nèi)變動的，如圖中B機(jī)的IP是202.102.47.56，那么B機(jī)上網(wǎng)IP的變動范圍是在202.102.000.000---202.102.255.255，所以每次控制端只要搜索這個IP地址段就可以找到B機(jī)了。

遠(yuǎn)程控制

木馬連接建立后，控制端端口和木馬端口之間將會出現(xiàn)一條通道。

控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系,并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。下面我們就介紹一下控制端具體能享有哪些控制權(quán)限，這遠(yuǎn)比你想象的要大。

竊取密碼：一切以明文的形式，*形式或緩存在CACHE中的密碼都能被木馬偵測到，此外很多木馬還提供有擊鍵記錄功能，它將會記錄服務(wù)端每次敲擊鍵盤的動作，所以一旦有木馬入侵，密碼將很容易被竊取。

文件操作：控制端可藉由遠(yuǎn)程控制對服務(wù)端上的文件進(jìn)行刪除,新建,修改,上傳,下載,運(yùn)行,更改屬性等一系列操作,基本涵蓋了WINDOWS平臺上所有的文件操作功能。

修改注冊表：控制端可任意修改服務(wù)端注冊表，包括刪除，新建或修改主鍵，子鍵，鍵值。有了這項(xiàng)功能控制端就可以禁止服務(wù)端軟驅(qū)，光驅(qū)的使用，鎖住服務(wù)端的注冊表，將服務(wù)端上木馬的觸發(fā)條件設(shè)置得更隱蔽的一系列高級操作。

系統(tǒng)操作：這項(xiàng)內(nèi)容包括重啟或關(guān)閉服務(wù)端操作系統(tǒng)，斷開服務(wù)端網(wǎng)絡(luò)連接，控制服務(wù)端的鼠標(biāo)，鍵盤，監(jiān)視服務(wù)端桌面操作，查看服務(wù)端進(jìn)程等，控制端甚至可以隨時給服務(wù)端發(fā)送信息，想象一下，當(dāng)服務(wù)端的桌面上突然跳出一段話，不嚇人一跳才怪木馬和病毒都是一種人為的程序，都屬于電腦病毒，為什么木馬要單獨(dú)提出來說內(nèi)？大家都知道以前的電腦病毒的作用，其實(shí)完全就是為了搞破壞，破壞電腦里的資料數(shù)據(jù)，除了破壞之外其它無非就是有些病毒制造者為了達(dá)到某些目的而進(jìn)行的威懾和敲詐勒索的作用，或?yàn)榱遂乓约旱募夹g(shù)。'木馬'不一樣,木馬的作用是赤裸裸的偷偷監(jiān)視別人和盜竊別人密碼，數(shù)據(jù)等，如盜竊管理員密碼-子網(wǎng)密碼搞破壞，或者好玩，偷竊上網(wǎng)密碼用于它用，游戲帳號，股票帳號，甚至網(wǎng)上銀行帳戶等。達(dá)到偷窺別人隱私和得到經(jīng)濟(jì)利益的目的。所以木馬的作用比早期的電腦病毒更加有用。更能夠直接達(dá)到使用者的目的。導(dǎo)致許多別有用心的程序開發(fā)者大量的編寫這類帶有偷竊和監(jiān)視別人電腦的侵入性程序，這就是目前網(wǎng)上大量木馬泛濫成災(zāi)的原因。鑒于木馬的這些巨大危害性和它與早期病毒的作用性質(zhì)不一樣,所以木馬雖然屬于病毒中的一類，但是要單獨(dú)的從病毒類型中間剝離出來.獨(dú)立的稱之為'木馬'程序。

一般來說一種殺毒軟件程序，它的木馬專殺程序能夠查殺某某木馬的話，那么它自己的普通殺毒程序也當(dāng)然能夠殺掉這種木馬，因?yàn)樵谀抉R泛濫的今天，為木馬單獨(dú)設(shè)計一個專門的木馬查殺工具，那是能提高該殺毒軟件的產(chǎn)品檔次的，對其聲譽(yù)也大大的有益，實(shí)際上一般的普通殺毒軟件里都包含了對木馬的查殺功能。如果現(xiàn)在大家說某某殺毒軟件沒有木馬專殺的程序，那這家殺毒軟件廠商自己也好像有點(diǎn)過意不去，即使它的普通殺毒軟件里當(dāng)然的有殺除木馬的功能。

還有一點(diǎn)就是，把查殺木馬程序單獨(dú)剝離出來，可以提高查殺效率，現(xiàn)在很多殺毒軟件里的木馬專殺程序只對木馬進(jìn)行查殺，不去檢查普通病毒庫里的病毒代碼，也就是說當(dāng)用戶運(yùn)行木馬專殺程序的時候，程序只調(diào)用木馬代碼庫里的數(shù)據(jù)，而不調(diào)用病毒代碼庫里的數(shù)據(jù)，大大提高木馬查殺速度。我們知道查殺普通病毒的速度是比較慢的，因?yàn)楝F(xiàn)在有太多太多的病毒。每個文件要經(jīng)過幾萬條木馬代碼的檢驗(yàn)，然后再加上已知的差不多有近10萬個病毒代碼的檢驗(yàn)，那速度豈不是很慢了。省去普通病毒代碼檢驗(yàn)，是不是就提高了效率，提高了速度內(nèi)？也就是說現(xiàn)在好多殺毒軟件自帶的木馬專殺程序只查殺木馬而一般不去查殺病毒，但是它自身的普通病毒查殺程序既查殺病毒又查殺木馬。