木马主要被黑客用于窃取密码、偷窥重要信息、控制系统操作以及控制目标计算机等。这里介绍下木马的常用入侵手段和伪装手段。从而帮助读者了解如何预防木马入侵。
木马能不能完全发挥它的功能和作用,关键一步就是能否成功地进入到目标主机。木马的入侵手段多种多样。下面我们就来了解一下木马都有哪些入侵手段。
为了便于隐藏和入侵,木马程序的编写者常常会通过一些特殊手段来对木马进行伪装。下面介绍一些常见的木马伪装手段。
木马之所以能够在神不知鬼不觉的情况下运行,除了借助狡猾的伪装手段外,其启动方式更是悄无声息。下面介绍木马常用的几种启动方式。
良好的使用习惯,能够有效地防范木马。下面介绍一些预防木马的具体措施。
事实上,木马属于一种特殊的病毒程序,它会影响到系统的正常运行,所以当电脑中木马后,一般都会有一些异常表现。
很大一部分木马都是通过修改注册表启动项来实现其开机运行的。所以,通过限制在注册表启动项添加新键值,可以有效地防止木马启动。
01 打开注册表编辑器。依次展开到如下注册表子键:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]。
02 分别右键单击这两个“Run”项,在弹出的快捷菜单中选择“权限”命令,打开“Run的权限”对话框。
03 将“Everyone”用户组的权限仅设置为“读取”,然后单击“确定”按钮保存设置即可。
有些木马程序利用硬盘AutoRun功能来启动自己,例如,这类木马隐藏的C盘,当用户双击C盘时,这类木马就会利用硬盘AutoRun功能来自动启动自己,所以防范这类木马的方法就是禁止硬盘AutoRun功能。
01 打开注册表编辑器。依次展开到如下子键:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]。
02 在右侧窗格中找到“NoDriveType AutoRun”项,将其键值修改为“9D,00,00,00”,即可关闭硬盘AutoRun功能。
Windows的屏幕保护程序对应的是“.scr”文件,默认情况下是保存在Windows的安装目录下。如果把后缀名为.scr文件更名为后缀名为.exe文件,则该程序仍然可以正常启动。同理,把后缀名为.exe文件更名为后缀名为.scr文件后,文件也照样可以运行。如果这种方法被木马或病毒等恶意程序所利用,后果将非常严重,防范这种攻击的方法就是禁止使用屏幕保护功能。
01 打开注册表编辑器。依次展开到如下子键:[HKEY_CURRENT_USER\Control Panel\desk-top]。
02 在右侧窗格中找到字符串值“ScreenSaveActive”(如果没有则新建它),将其键值修改为“0”即可禁止使用屏幕保护功能。
反弹端口型木马是利用用户开放的端口来进行传播的,其一般是从80端口开始(HTTP端口,大多数人都不会关闭这个端口的),然后开始寻找其他端口一旦找到端口存在就是自动打开端口。
一般情况下,这种木马大多潜伏在启动组、Win.ini、System.ini、注册表等地方,因为这些地方可以让他们加载自启动。所以,要防范反弹端口型木马,这几个地方要特别注意。
例如:在win.ini文件中,在它的“Windows”字段中有两个启动命令:“load=”和“run=”。在一般情况下“=”后面是空白的,如果有后跟程序,比如是:run=c:\windows\hgz.exe或load=c:\windo ws\hgz.exe,那么hgz.exe这个文件就是木马。而system.ini文件中,在“Boot”字段下面有个“shell=文件名”格式的命令。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explo rer.exe程序名”,那么后面的那个程序就是“木马”程序了。
U盘是病毒、木马等入侵电脑的途径之一,用户可以在使用U盘前对其进行查杀,以确保电脑的安全。使用金山毒霸查杀U盘的具体操作步骤如下。
01 将U盘链接到电脑上,启动金山毒霸程序,在打开的界面中单击“自定义扫描”按钮。
02 在打开的对话框中选择U盘盘符,然后单击“确定”按钮,软件会自动完成对指定目标的病毒查杀。
电脑病毒并非是在指定的时间对某台电脑进行攻击,而是在用户触及病毒程序时,电脑才有可能受到感染。由于病毒具有很强的隐蔽性,发作时,普通用户难以察觉。
大多数杀毒软件都提供了实时防护功能,只要开启该项功能,就可以在病毒发作时自动清除或提示用户。这里以金山毒霸软件为例,介绍实时防护功能的开启方法。
01 启动金山毒霸软件,在打开的软件主界面中,单击功能列表中的“铠甲防御”按钮。
02 进入“铠甲防御”界面,切换到“防御开关”选项卡,在其中会显示软件提供的所有防护功能,根据需求开启指定的实时防护功能,建议全部开启。
通过前面的学习,我们已经对木马的特征、种类、入侵电脑的方式等有了一定的认识,并且可以根据它的特点来对其进行预防,但是要使木马不对我们造成侵害,只进行预防还远远不够,还需掌握其清除方法。本节将为大家介绍几种常见的木马及其清除方法。
“Windows木马清道夫”是一款专门查杀木马的专业反木马信息安全软件,是全新一代的木马克星,它具有可自动查杀近10万种木马的功能,如果配合手动分析可接近100%的对未知木马进行查杀。此外,木马清道夫不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能及完美的升级功能,使得木马变得不再可怕。
下面以扫描C盘为例,介绍使用木马清道夫查杀木马的方法,具体操作如下。
01 启动木马清道夫程序,在弹出的操作界面单击“扫描硬盘”按钮。
02 在弹出的菜单中单击“精确扫描硬盘”命令。
03 在弹出的“精确扫描硬盘”对话框中选择C盘。
04 单击“扫描”按钮,待木马扫描完成后,如果扫描出木马程序,它们会排列在“文件名”列表框中,此时单击“隔离/清除”按钮即可。
如果电脑中了木马,个人隐私及帐户密码等可能会被窃取。此时可以使用第三方木马查杀软件来进行查杀,下面以金山卫士为例进行介绍。
01 下载并安装金山卫士的最新版本。启动金山卫士软件,然后在主界面中单击“查杀木马”按钮。
02 在打开的界面中选择合适的查杀方式,本例选择“自定义扫描”按钮。
小提示
单击“快速扫描”按钮,可以启动快速扫描方式,该方式只会扫描系统引导区、系统内存以及系统关键目录。
03 在弹出的对话框中展开“计算机”目录,选择要查杀木马的目标(如C:),单击“确定”按钮。
04 金山卫士开始对指定对象进行木马扫描,此过程由程序自动完成,用户需耐心等待。
05 扫描结束后会显示扫描结果,如果扫描到木马,单击右下角的“立即清除”按钮。
06 开始清除木马程序,清除完成后,在弹出的对话框中会显示查杀结果,单击“确定”按钮即可。
黑客常常使用木马盗取用户的各种账户及密码,如QQ、网络游戏、邮箱等,用户需要经常对电脑进行木马查杀,确保电脑中没有木马。
01 启动360安全卫士,在“常用”主页面中切换到“查杀木马”选项卡。程序提供了3种扫描木马的方法,这里单击“快速扫描木马”按钮。
小提示
“快速扫描木马”表示扫描系统内存,启动对象关键位置,速度较快;“全盘扫描木马”表示扫描系统内存,启动对象及全部磁盘,速度较慢;“自定义扫描木马”表示由用户自己指定需要扫描的范围。
02 开始扫描系统,并在下方显示扫描结果。扫描过程中,如果发现木马,会提示用户。
03 扫描结束后,如果发现木马,则单击“立即处理”按钮。处理完毕后单击“好的,立即重启”按钮即可。
木马克星(Iparmor)是一款专杀木马病毒的工具软件,该软件可以查杀近万种国际木马和上千种密码偷窃木马,包括传奇密码偷窃木马、QQ类寄生木马和冰河类文件关联木马等。木马克星支持内存扫描、硬盘扫描,能够自动分析可疑系统进程,就连木马服务器在本机中截获的密码通过邮件发送出去,都需要木马克星的确认。
此外,木马克星能够自动升级木马库,对于新木马类型或未知木马,具有超强的查杀能力。
启动木马克星程序后,它会自动扫描IE插件,如果发现木马程序,会弹出对话框提示是否清除,如果用户要对电脑中的其他部分进行查杀,如内存、硬盘等可以切换到相应的选项卡,然后单击“扫描”按钮进行查杀。
使用木马克星查杀电脑中的木马的方法如下。
01 下载并安装“木马克星”软件,启动其程序,在弹出的“木马克星”工作窗口中单击“扫描硬盘”选项卡。
02
在打开的“扫描硬盘”选项卡中勾选“清除木马”复选框,单击
按钮,在弹出的浏览文件夹对话框中选择C盘下的“Program Files”文件夹,单击“确定”按钮,然后在返回的“木马克星”窗口中单击“扫描”按钮。
03
木马克星会自动对选定目标进行木马的查杀,其扫描及清除记录会显示在“木马克星”窗口中,木马查杀完成后单击
按钮,退出程序即可。
很多木马会以恶意插件的形式捆绑在其他软件上,当用户进行安装时,就可能运行该插件。这类插件可能含有后门程序,从而带来实质危害。使用360安全卫士查杀恶意插件的方法如下。
01 启动360安全卫士,在“常用”主页面中单击“清理插件”选项卡。
02 开始扫描系统中的插件,扫描结束后,在列表中勾选要清理的插件,然后单击“立即清理”按钮。
03 程序提示需要重启电脑,单击“确定”按钮即可。
间谍软件也是木马的主要载体之一。Spy Sweeper是一款在国内外都倍受推崇的五星级软件,它能使电脑免受间谍软件的侵害,进而保护个人隐私的安全。使用Spy Sweeper清除间谍软件的方法如下。
01 启动Spy Sweeper软件,在打开的软件主界面口中单击“Options”选项按钮,打开“Options”选项界面。
02 在“Sweep”选项卡下选择扫描方式,本例选择“Custom Sweep”(自定义扫描)选项,在下方单击“Change Settings”链接。
03 在弹出的“Custom Sweep”对话框中设置要扫描的范围,可以是驱动器或文件夹。
04 在左侧窗格中单击“What to Sweep”按钮,在右侧窗格中勾选要扫描的对象,然后单击“OK”按钮。
05 返回软件主界面,单击右下角的“Sweep now”按钮,程序开始对指定对象进行扫描,需耐心等待。扫描结束后会显示扫描结果。如果发现间谍软件,勾选它,单击“Quarantine Selected”按钮即可将所选对象隔离。
当电脑中了木马后,很可能导致文件关联被修改,例如,TXT文件通常是由记事本(Notepad.exe)来打开,当感染目录后,则会被修改为用木马程序打开,因此只要你一打开文本文件,就会自动启动木马。如果发现自己的记事本文件关联程序被更改了,可以通过下面的方法进行还原。
01 使用管理员身份登录操作系统,在系统桌面左下角单击“开始”按钮,弹出“开始”菜单,在搜索框中输入“regedit”命令并按“Enter”键,打开“注册表编辑器”窗口。
02 在左侧窗格中依次展开“HKEY_CLASSES_ROOT\txtfile\shell\open\command”子键,在右侧窗格中将“默认”键值项的值改为“%SystemRoot%\system32\notepad.exe%1”,按“Enter”键,然后重新启动电脑即可。
木马不仅仅只会修改TXT文件的关联,有时还可能修改HTM、EXE、ZIP以及COM等文件的关联,因此要对付这类木马,应该检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值是否正常。下面列举几个常见程序的文件关联正确键值。
发现一些文件捆绑有木马之后,为了保存原文件,可以将木马与原文件进行分离。
01 用UltraEdit的十六进制方式打开被木马绑定的程序,选中第二个“MZ”到第三个“MZ”之间的内容(即第二个文件),将该部分内容复制。
02 打开记事本,粘贴一下,然后保存为EXE文件。
03 选中第三个“MZ”至文件末尾之间的内容(即第三个文件),同样复制,打开记事本后粘贴一下,然后保存为EXE文件。
04 至此,木马文件就和原文件分离了。接下来要通过检查两个文件的图标及大小来判断哪个文件是所需的正常程序,找出需要的原文件之后,将被木马绑定的原文件和木马文件彻底删除。
小提示
一般情况下,原程序文件与捆绑后的图标一致,且程序大小比木马程序大。
从2007年开始,网游盗号木马开始泛滥,并且和其他木马“联合作战”,不仅盗取用户的游戏账号,更直接威胁到个人财产的安全。2008年,魔兽世界全国总冠军账号被盗一案,将盗号木马的威胁推向高峰。现在,网游盗号木马已经成为对网民危害最严重的木马之一,占据了木马总数的76%,超过38%的网民曾有过被盗号的经历。网游帐号的安全问题已经变成了网游行业发展的重负。
为让广大用户避免受到网游盗号木马的困扰,下面主要为大家介绍有关网游盗号木马的知识及其清除方法。
1.认识网游盗号木马
网游盗号木马主要是通过恶意网页或其他木马下载进行传播。它具有许多变种,其中主要的木马名称如下。
网游盗号木马入侵电脑后,会修改注册表,实现其开机自动运行的目的。此外,一旦网游盗号木马被激活,它还会利用释放病毒文件“jhapri.dll”到系统目录“%system%\jhapri.dll”中、使用批处理删除源文件、修改注册表,禁止自动更新以及关闭Windows防火墙等手段来保护自身的正常运行。
2.清除网游盗号木马
网游盗号木马有许多变种,有些变种连杀毒软件也无法查杀,这时如果不想格式化磁盘,就只有手动清除它了。清除网游盗号木马的方法主要分为以下几个步骤。
01 重命名木马文件。在电脑中找到木马文件“%system%\jhapri.dll”,将其重命名,然后重新启动电脑。
02 删除木马及相关文件。打开“计算机”窗口,找到并删除重命名过的木马文件“%syste m%\jhapri.dll”以及与其相关的文件“%system%\jhatmp.dll”、“%system%\jhaini.dll”。
03 删除“SellExecuteHook”启动项。在注册表编辑器窗口中展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHook”子键,在右侧窗格中删除“252D2432-37A2-324F-2A54-21BF5CF2F1A2”键值项。
04 修改AppInil_DLLs键值项的值。在“注册表编辑器”窗口中依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows”子键,在右侧将“AppInil_DLLs”键值项的值清空,单击“确定”按钮,重启电脑即可。
制作木马是实现木马攻击最主要的操作,这直接关系到能否成功获取远程主机信息或直接控制远程主机。本节将介绍软件捆绑木马、chm电子书木马、自解压木马和网页木马等几款常见木马的制作。
捆绑木马的软件很多,例如EXE捆绑机、bindexe、文件捆绑机等,这里主要介绍使用EXE捆绑机软件(适用于Windows XP/2003)进行木马捆绑的方法,具体操作如下。
01 下载并解压EXE捆绑机软件包,启动其主程序,在弹出的“EXE捆绑机”对话框中单击“下一步”按钮。
02 在打开的“指定第一个可执行文件”界面单击“点击这里指定第一个可执行文件”按钮。
03 在打开的对话框中选中要捆绑木马的文件,这里选中QQ启动程序,然后单击“打开”按钮。
04 在返回的对话框中可看到设置的文件路径,确认后单击“下一步”按钮。
05 在接着打开的界面中单击“点击这里指定第二个可执行文件”按钮。
06 在打开的对话框中找到并选中要捆绑的木马程序,本例为暗组QQ木马,然后单击“打开”按钮。
07 在返回的对话框中可看到添加的木马程序,确认后单击“下一步”按钮。
08 在打开的对话框中提示指定保存路径,这里单击“点击这里指定保存路径”按钮。
09 在打开的对话框中设置文件的保存信息,然后单击“保存”按钮。
10 在返回的对话框中确认文件的保存路径,然后单击“下一步”按钮。
11 在接着打开的界面中选择软件的捆绑木马的版本,这里选择普通版,然后单击“下一步”按钮。
12 在接着打开的界面中单击“点击这里开始捆绑文件”按钮,开始将木马捆绑到指定文件上。
13 软件会自动进行木马的捆绑,需耐心等待,捆绑结束后会弹出提示框提示捆绑文件成功,这里单击“确定”按钮。
14 捆绑完成后会在指定文件位置生成一个和原文件非常相似的图标,如果是在远程主机上操作,可将生成的图标显示在系统桌面上,以便目标机主直接运行。
Chm电子书木马隐藏在电子书中,这种木马隐蔽性非常好,进而实用性也很高。在制作电子书木马前需要下载Quick CHM软件(适用与Windows XP、Windows 2003操作系统)、chm电子书以及一个木马文件,当准备好这些工具后即可进行电子书木马的制作了,具体操作步骤如下。
01 打开电子书,右侧窗格中单击鼠标右键,在弹出的菜单中单击“属性”命令。
02 在打开的对话框中可以发现其默认的页面的“健康文集.chm::/癌细胞~1.htm”(这表示“健康文集”目录中的“癌细胞.htm”文件.),记录这一信息,然后单击“确定”按钮。
03 接着用户需要编写一个网页代码,可以打开记事本,在其中输入下图中的内容。
小提示
上述代码中用户需要根据电子书的存放路径和木马的名称不同进行对应的更改,不用完全按照上述代码编写。
04 在记事本文档中单击工具栏中的“文件”按钮,在然后在弹出的菜单中单击“保存”命令。
05 在打开的对话框中设置文件的保存信息,需要注意的是这里应该把文件类型设置为“所有类型”,将文件名称设置为“XX(自定义设置).html”,然后单击“保存”按钮,将文件保存为网页。双击打开该网页文件会看到其中的内容为空。
06 网页文件编写成功后启动“Quick CHM”软件,在打开的操作窗口中依次单击“文件”→“反编译”菜单命令。
07 在接着打开的“反编译”对话框中单击“输入”文本框右侧的“打开”按钮。
08 在打开的“打开”对话框中选中要进行反编译的chm电子书,然后单击“打开”按钮。
09 在返回的对话框中单击“输出”文本框右侧的“保存”按钮。
10 在打开的“浏览文件”对话框中设置文件的保存位置,然后单击“确定”按钮,并在返回的“反编译”对话框中再次单击“确定”按钮。
11 软件会对指定文件进行反编译,并在反编译结束后打开指定文件夹,显示所有反编译后的文件。
12 在反编译后的文件中选中扩展名为“.hhp”的文件,单击鼠标右键,在弹出的菜单中依次单击“打开方式”→“记事本”命令。
13 打开记事本文档,这里需要做的是在“main”栏内添加前面制作的网页文件“编码.html”,在FILES栏内添加网页文件和木马文件(编码.html和“暗组QQ木马.exe”)。
14 添加文成后单击工具栏的“文件”按钮,在弹出的下拉菜单中单击“保存”命令。
15 将前面编写的网页(编码.html)和木马文件(暗组QQ木马.exe),复制到反编译后的文件夹中。
16 启动Quick CHM软件,在弹出的操作窗口中依次单击“文件”→“打开”菜单命令。
17 在打开的对话框中找到并选中刚才修改的hhp文件,然后单击“打开”按钮。该chm文件的所有内容都会导入到Quick CHM软件中。
18 单击工具栏中的“文件”按钮,然后在打开的菜单中单击“编译”命令。
19 程序开始对chm文件进行编译,完成后会弹出对话框提示编译完成,并询问是否运行,这里单击“否”按钮。
20 上述操作结束后即可在原反编译文件的储存路径下生成一个新的chm文件,这就是我们制作的chm电子书木马。