005Q 木马的伪装手段有哪些?

A 木马的伪装手段有5种包括:修改图标、出错显示、木马更名、扩展名欺骗和自我销毁。

木马入侵目标计算机后,为了防止被用户发现,攻击者往往会采取不同的手段来伪装木马,常见的伪装手段有修改图标、出错显示、木马更名、扩展名欺骗和自我销毁。

修改图标

木马服务端所用的图标有一定的规律可循,木马经常故意伪装成XT.HTML,等待用户因为疏忽而将其认为是没有危害的文件图标双击打开。

出错显示

这种伪装手段是将木马捆绑到一个安装程序中,当安装程序运行时,木马就会在用户毫无察觉的情况下偷偷地进入系统。被捆绑的文件一般是可执行文件,如EXE、COM之类的文件。

木马更名

如果木马的名称不做任何修改,那么用户通常能够很容易地辨认出木马程序。为了增强木马的欺骗性,木马设计者经常给木马取一个具有迷惑性的名称,或者运行控制端用户自由定制安装后的木马文件名,这样就很难判断所感染的木马类型了。木马大多数是改为和系统文件名类似的名称,例如有的木马将名称改为window.exe,或者把.d改为.dl等。

扩展名欺骗

这是许多黑客惯用的一种欺骗手法,就是将木马伪装成图像、文档等文件,这一点跟木马更名的性质类似,但是这一招看上去虽然很不合逻辑,却有许多用户中招。例如图像文件的扩展名根本就不可能是.exe,而木马程序的扩展名基本上又必定是.exe,这样,多数用户在看到扩展名为.exe的文件时就会很小心。于是木马设计者就将文件名进行一些改变,例如将photo.exe更改为photo.jpg.exe,因为Windows文件夹选项的默认设置是不显示扩展名的,于是用户看到的只是photo.jpg文件,此时如果用户的计算机恰好设置为隐藏扩展名,那么就很容易将其当做一个图片打开,这样木马也就启动了。

自我销毁

自我销毁功能是为了弥补木马的一个缺陷而设计的。当服务器用户打开含有木马的文件后,木马会将自己复制到Windows的系统文件夹中。一般来说,源木马文件和系统文件夹中的木马文件的大小是一样的,那么用户只要在近来收到的信件和下载的软件中找到源木马文件,然后根据源木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马即可。而木马的自我销毁功能是指安装完木马之后,源木马文件会自动销毁,这样服务端用户就很难再找到木马的来源了,此时在没有查杀木马工具的帮助下是很难删除木马的。