木马变身记(上)——寄生正常文件 木马看不见
安全维护
木马天性属阴,注定了它不喜欢抛头露面的生活,例如它会寄生在文件中,躲过用户的目光,偷偷进入电脑,控制电脑……
不愿抛头露面的木马
案例1 2009年8月,张先生在号称是魔兽大脚官网的www.wowdajiao.com.cn下载了《魔兽世界》的大脚插件,可没多久张先生就发现自己的《魔兽世界》账号不翼而飞。
案例2 2010年3月,万先生通过搜索引擎搜索XX色情门后,下载了XX全套图片。没过几天,万先生发现自己《剑侠世界》、QQ的账号和密码被盗。
案例1中,张先生明明下载的是插件,插件明明可以使用,他为什么还是中毒了?案例2中,万先生明明下载的是图片,图片明明可以看到,他为什么还是中毒了?其实,他们中毒的原因很简单,他们只看到了正常文件,却看不到正常文件体内的寄生虫——盗号木马。
只要是正常文件,不管是程序,还是图片、文档,木马都可以躲到里面,舒舒服服地等着受害者上钩(目前,网上有惊人的捆绑了木马的资源,主要是游戏外挂、绿色版软件、破解版软件、色情图片等),那木马是如何变成寄生虫的呢?请接着往下看!
万能文件捆绑器:隐蔽性不强
工具大小:533KB
工具特点:设置简单,增强隐蔽性的功能少
万能文件捆绑器的功能较少,唯一的高级功能就是可以迷惑安全工具的数字签名功能(可以不设置),所以操作简单、上手容易,深受小白的喜好。下载解压工具后,运行Files.exe,就可以看到简洁的工具界面。
点击“添加文件”,在“被捆绑文件”处添加一个正常文件(图1),如果正常文件是程序要在“释放运行”处选择Program Files目录(此处只能选择工具预设的目录,例如TEMP临时文件夹、Windows目录等,不能自定义目录);如果正常文件是图片和文档,不需要设置此项。
接着添加一个木马文件,添加后点击“注入运行”,选择要注入的进程,预设了5个进程,分别是explorer.exe(资源管理器)、regedit.exe(注册表)、 calc.exe(计算器)、alg.exe(防火墙)、conime.exe(输入法),一般选择explorer.exe,然后在“运行间隔时间”处选择3秒,产生一个延时,以免出现卡一下的情况,引起用户警觉。
再点击“选择图标”为生成的捆绑文件选择一个图标,再点击“数字签名” ,在“请选择含有数字签名文件”处选择一个系统数字签名文件,这样就可以伪装成系统文件,骗过安全工具的检测,最后点击“捆绑文件”即可生成一个捆绑了木马的正常文件。
上兴文件捆绑器:隐蔽性超强
工具大小:271KB
工具特点:设置复杂,增强隐蔽性的功能多
上兴文件捆绑器2010版功能丰富,它可以将4个文件捆绑在一起,可以自定义文件释放的路径,可以选择多种运行方式,可以对数据进行加密(加密后不会被安全工具查出问题),可以从其他文件中提取原始图标,可以修改捆绑文件的图标,可以修改文件属性,可以修改文件时间等。正是有这么多功能,所以上兴文件捆绑器2010版受到专业黑客的喜爱。
下载解压工具后,运行Project1.exe,弹出工具界面,在“第一个文件”中导入一个正常文件(图2),然后在“第二个文件(可选)”中导入一个木马文件(最多可以捆绑3个木马),再在“捆绑生成后的目标文件”处设置生成的捆绑文件的名称和路径,例如C:\Documents and Settings\Administrator\桌面\清除QQ空间密码.exe。
接着,在“第一个文件释放到”处选择正常文件的释放方式(图3),如果正常文件是程序,则选择Program Files目录;如果正常文件是图片、文档,勾选“不释放,内存直接运行”。
在“第二个文件释放到”处填写木马文件释放的位置(一般是系统文件夹system32),在“注入到别的程序中运行”处填写C:\Program Files\Internet Explorer\iexplore.exe。
假设正常文件是1.doc ,木马文件是2.exe, 生成的捆绑文件是3. doc,这样设置后,在双击3. doc时就直接运行了木马文件2.exe,且注入iexplore.exe进程中。就这样结束操作吗?不急,现在只完成了一些基本的设置,要让捆绑文件更有欺骗性和更可靠,还要进行高级设置。
勾选“系统属性”、“只读属性”和“隐藏属性”,在“文件创建时间”和“文件修改时间”处选择比较早的时间(一般来说,高手检测系统文件夹时,会非常关注最新创建时间和修改时间的文件),这样操作后就可以增强木马文件的隐蔽性。
最后就是给捆绑文件选择一个合适的图标(通过“打开ICO图标”选择),用得较多的是JPG图标和EXE图标,如果没有自己想要的图标,则通过“从文件提取图标”找到。最后,默认其他选项设置,点击“开始捆绑”就生成捆绑了木马的正常文件。
除了捆绑,木马还可以通过网页木马的方式传播,那什么是网页木马?网页木马又是如何制作出来的呢?下期更加精彩,不容错过!
