MM中木馬,求助高手
曉陽(yáng)是一名普通的公務(wù)員,喜歡不時(shí)研究點(diǎn)網(wǎng)絡(luò)安全技術(shù),
捆綁軟件制作及防范方法
。今天在忙完手頭的工作后閑得無(wú)聊,正準(zhǔn)備上網(wǎng)瞧瞧,新來(lái)的女同事小章愁眉苦臉的來(lái)到他的面前,說(shuō)她的電腦有問(wèn)題,讓曉陽(yáng)幫忙看看。“美女開(kāi)口,豈敢不從”,曉陽(yáng)開(kāi)著玩笑來(lái)到小章的電腦前。通過(guò)仔細(xì)觀察,曉陽(yáng)發(fā)現(xiàn)即使是沒(méi)有任何操作,小章的電腦硬盤的指示燈也不停地閃爍,而且桌面的鼠標(biāo)也在不斷地滑動(dòng)并進(jìn)行著文件夾的打開(kāi)等操作,就像有一個(gè)人正在面前操作這臺(tái)電腦一樣。通過(guò)這一系列的現(xiàn)象,曉陽(yáng)已經(jīng)明白小章的電腦程序中木馬了。
曉陽(yáng)知道,對(duì)于小章這樣的MM,想入侵她們的電腦,可以說(shuō)相當(dāng)容易,但入侵者到底是如何進(jìn)入的呢?“你的電腦被安裝了一種被稱為‘木馬’的 程序,你想想什么時(shí)候發(fā)現(xiàn)電腦出現(xiàn)問(wèn)題的?”曉陽(yáng)對(duì)小章說(shuō)道。“剛剛網(wǎng)上的一個(gè)網(wǎng)友說(shuō)有一個(gè)好看的Flash動(dòng)畫,問(wèn)我要不要看看,我答應(yīng)后他就傳給我了。你看就是這個(gè)Flash動(dòng)畫!毙≌抡f(shuō)著指向電腦桌面上的一個(gè)文件。
曉陽(yáng)一眼就看出這個(gè)Flash文件的問(wèn)題,因?yàn)檫@個(gè)圖標(biāo)嚴(yán)重失真,并且肯定入侵者是通過(guò)文件捆綁這種方式進(jìn)行木馬傳播的。還好,這是一個(gè)目前比較流行的木馬。曉陽(yáng)升級(jí)了MM電腦中殺毒軟件的病毒庫(kù),順利清除了木馬。
小貼士:入侵者的入侵方法,最常用的要算是文件捆綁了,就是將惡意程序和其他的一些正常的數(shù)據(jù)(或文件)捆綁到一起,然后通過(guò)各種手段欺騙用戶運(yùn)行偽裝好的程序進(jìn)行惡意程序安裝。
重現(xiàn)捆綁陷阱選擇捆綁工具
“那入侵者是怎樣進(jìn)行捆綁的呢?”小章問(wèn)道!拔疫是給你演示一下吧!” 曉陽(yáng)說(shuō)。曉陽(yáng)知道,要進(jìn)行文件捆綁的話,要一種木馬捆綁機(jī)才行,常見(jiàn)捆綁機(jī)包括EXE文件捆綁機(jī)、萬(wàn)能文件捆綁器、GWBinder2002等?墒怯捎谶@種捆綁機(jī)的捆綁原理已經(jīng)被廣大用戶所掌握,用戶可以通過(guò)多種手段檢測(cè)出捆綁的惡意程序。即使小章不能發(fā)現(xiàn),可殺毒軟件卻可以將幾乎所有的捆綁類軟件進(jìn)行查殺, 一定明白這個(gè)道理。
曉陽(yáng)在網(wǎng)上看到一款名為永不查殺的捆綁機(jī)的小工具,它是由灰鴿子工作室開(kāi)發(fā)的一款不被查殺的多文件捆綁工具(如圖)。
曉陽(yáng)知道,在這款捆綁機(jī)推出之前,灰鴿子工作室曾經(jīng)推出過(guò)一款名為萬(wàn)能文件捆綁器的工具,正是由于它采用了傳統(tǒng)的捆綁方式,所以它已經(jīng)被殺毒軟件所查殺了,
電腦資料
《捆綁軟件制作及防范方法》(http://www.oriental01.com)。而這次全新開(kāi)發(fā)的這款捆綁機(jī),不但在操作界面上完全采用了前一款捆綁機(jī)的界面,另外在捆綁方式上完全模擬了微軟的IExpress程序來(lái)將多個(gè)不同類型的文件進(jìn)行捆綁。小貼士:IExpress是專用于制作各種 CAB 壓縮與自解壓縮包的工具,由于是Windows自帶的程序,所以制作出來(lái)的安裝包具有很好的兼容性。它可以幫助入侵者制造出不被殺毒軟件查殺的自解壓包,而且一般情況下還可偽裝成某個(gè)系統(tǒng)軟件的補(bǔ)丁來(lái)迷惑人(關(guān)于IExpress的介紹,大家可以查看《電腦報(bào)》2005年第23期的《Windows為你打造“免檢”木馬》一文)。
制作木馬捆綁文件
曉陽(yáng)運(yùn)行捆綁機(jī)程序,點(diǎn)擊“添加文件”按鈕添加要捆綁的文件,他選擇了一個(gè)Flash動(dòng)畫和一個(gè)木馬程序。雖然捆綁程序可以對(duì)2個(gè)以上的文件進(jìn)行捆綁,并且支持各種類型的文件格式,這里曉陽(yáng)還是只選擇了這2個(gè)文件。
接著曉陽(yáng)在“安裝首次運(yùn)行”選項(xiàng)中設(shè)置為Flash動(dòng)畫,而在“當(dāng)首次結(jié)束再運(yùn)行”選項(xiàng)中設(shè)置為木馬程序,再在“窗口運(yùn)行狀態(tài)”中對(duì)文件的窗口運(yùn)行情況進(jìn)行設(shè)置。最后為捆綁文件選擇一個(gè)圖標(biāo),捆綁機(jī)本身已經(jīng)為用戶準(zhǔn)備了大量的候選圖標(biāo),由于曉陽(yáng)捆綁的文件是Flash動(dòng)畫,于是他選擇了一個(gè)Flash動(dòng)畫的圖標(biāo)。
雖然候選框中已經(jīng)有一個(gè)Flash動(dòng)畫的圖標(biāo)可以選擇,但曉陽(yáng)覺(jué)得不太滿意,于是點(diǎn)擊“選擇圖標(biāo)”按鈕來(lái)選擇一個(gè)自己覺(jué)得滿意的圖標(biāo)。
小貼士:永不查殺的捆綁機(jī)除了可以支持常見(jiàn)的圖標(biāo)圖片文件外(*.ICO,*.BMP),還可以從可執(zhí)行文件(*.EXE)和動(dòng)態(tài)鏈接庫(kù)文件(*.DLL)中提取相關(guān)的圖標(biāo)進(jìn)行使用。
經(jīng)過(guò)選擇,曉陽(yáng)還是從Flash程序中提取了一個(gè)圖標(biāo)進(jìn)行使用,然后點(diǎn)擊“捆綁文件”按鈕就生成了自己需要的捆綁文件。曉陽(yáng)立刻啟動(dòng)殺毒軟件進(jìn)行查殺,結(jié)果真的不會(huì)被查殺。“這就是 入侵你的電腦的整個(gè)過(guò)程”,曉陽(yáng)看著小章說(shuō)道,只見(jiàn)她的眼睛睜得大大的。
為MM支招
其實(shí),通過(guò)文件捆綁進(jìn)行惡意文件傳播已經(jīng)不是什么新方法了,可是入侵者通過(guò)不斷的“改進(jìn)”,使得捆綁的方法層出不窮,所以給防范帶來(lái)了不少困難。
比如現(xiàn)在很多入侵者通過(guò)正規(guī)的壓縮程序進(jìn)行捆綁。其實(shí)要檢測(cè)文件是否是用壓縮程序制作的自解壓文件非常簡(jiǎn)單。在可疑的文件上點(diǎn)擊鼠標(biāo)右鍵,選擇“屬性”命令,如果在彈出窗口中看到有“壓縮文件”這樣的標(biāo)簽,并且在標(biāo)簽的描述中會(huì)出現(xiàn)“自解壓格式 XXX 壓縮文件”的內(nèi)容,這就表示它是一個(gè)自解壓的文件。
接著通過(guò)系統(tǒng)中的壓縮程序,比如用戶的系統(tǒng)安裝了WinRAR的話,直接通過(guò)右鍵菜單中的解壓命令進(jìn)行文件解壓,然后在解壓的文件夾中檢查是否有捆綁的惡意程序。