木马的分类
1. 综合型,窗口型(Sub7,Back Orifice 2K,OPTIX Pro)
Dos命令行(WinShell, Telnet木马,NTRootKit)
电子邮件木马
远程遥控软件
2.特定型木马,收集某方面资料,通常以邮件方式发送给黑客。如收集按键Keylooger木马,收集操作画面,偷取帐号,偷取msn,icq,qq帐号,跳板货DDos。
木马演变
传统EXE程序文件木马――一代
传统DLL/VxD木马――――二代
替换关联DLL木马――――三代
远程嵌入式DLL木马―――四代
木马入侵简易流程
选择木马->伪装木马->植入被黑计算机->启动木马->执行远程控制
木马的伪装
1. 压缩伪装。ASPack可对PE文件压缩,PECompact,UPX-G。
2. 重组伪装。CRC加密,反编译,删除文件头信息。工具有EXE Stealth。
3. 合并伪装。用Binder工具把木马和另外一个程序合并。常与图片,视频,音频文件,Flash以及小游戏,一些程序的破解程序。如Deception Binder, FreshBind,MicroJoiner,ExeBinder。
通常ASPack,MicroJoiner,UPX-G,EXE Stealth较难查杀,使用压缩和重组后再用Binder二次伪装,更难被查杀。
木马的植入
直接入侵植入
伪装电子邮件植入
网站钓鱼法
利用P2P传递软件
利用免费软件与共享软件
利用注册破解程序(正常不超过100k)
Tricks:
1. 口头欺骗,视觉欺骗(利用系统默认不显示常见后缀)
2. 关联常用文件类型,如.exe文件。
HKEY_CLASSES_ROOT/exefile/shell/open/command
@=”/”% 1” %*”
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/open/command
@=”/”% 1” %*”
如@=”server.exe/”% 1” %*”,运行任何程序或控制面板都会运行。
HKEY_CLASSES_ROOT/cmdfile/shell/open/command
HKEY_CLASSES_ROOT/comfile/shell/open/command
HKEY_CLASSES_ROOT/batfile/shell/open/command
HKEY_CLASSES_ROOT/htafile/shell/open/command
HKEY_CLASSES_ROOT/piffile/shell/open/command
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/shell/runas/command
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/comfile/shell/open/command
等等,比.exe文件执行几率低,少用。
木马的种类
Perfect Keylogger 监控与记录按键的各种木马。
MSN Log Thief 窃取MSN交谈记录,并将其IP以邮件或ICQ传给黑客。
MSN Chat Monitor ,需要在被监控的机器上安装。
Fake MSN 仿冒MSN登陆界面。