木马伪装术(上)——不识真面目 只因木马穿新衣

安全维护

特约作者 汪泓翰 · 2010年9月6日 第35期

俗话说,人靠衣装,佛靠金装,装扮不同给人的感觉也不同,这个道理木马也懂,穿上漂亮的花衣服,就可以大摇大摆从杀毒软件眼皮底下走过……

免杀是木马的王牌

在百度以关键词“免杀”进行搜索,可以看到35万多条搜索结果;在谷歌以关键词“免杀”进行搜索,可以看到约2630万条搜索结果。如果你再仔细看看,会发现各式各样的免杀教程(书籍、视频等应有尽有)、五花八门的免杀工具。

搜索到如此多的免杀内容,大家是不是非常吃惊?其实,黑客极少不免杀木马而直接使用的,如果这样做,就算藏得再好,伪装得再巧妙,也极难躲过杀毒软件的查杀,所以在木马使用前,黑客一般都会进行免杀(目前,有黑客专门从事木马免杀服务,全程提供技术支持,是木马产业链的重要一环)。

需要注意的是,木马的免杀方法有很多,但有的效果不佳,有的操作难度较高,所以常用的免杀方法就只有加花指令免杀法和加壳免杀法,它们因为免杀效果好且简单好用,最受黑客欢迎。所谓加花指令免杀法,就是给木马穿一件花衣服,这样打扮过后,红红绿绿的让杀毒软件眼花缭乱,自然就蒙混过关成功进入用户的电脑了。

花衣服能迷惑杀毒软件吗

穿一件花衣服,真的可以迷住杀毒软件吗?在介绍黑客工具之前,我们先来做一个实验。我们将一款加花免杀的木马上传到多引擎在线病毒扫描网站(www.virscan.org),扫描结果如图1所示,然后再上传木马原文件,扫描结果如图2所示。

该木马比较生僻,用得较少,即使这样还是有44%的杀毒软件发现了问题。免杀后,这一数字下降到28%,特别是免杀后此前报警的国内主流杀毒软件都没有发现问题(图3),这说明加花免杀效果不错。

35-g08-01.jpg
图1
35-g08-02.jpg
图2
35-g08-03.jpg
图3

一件花衣服,就让杀毒软件的双眼背叛了它的心,多么可怕!那木马的花衣服,是如何编织出来的呢?请接着往下看。

傻瓜化的花蝴蝶

工具特点:提供了四套加花方案,使用简单

工具大小:779KB

花蝴蝶是一款傻瓜化的加花工具,它提供了四套加花方案,省去了用户不知如何选择花指令的苦恼,特别适合新手使用。启动该工具后,看到工具界面(图4),在“文件”中添加木马文件,例如灰鸽子木马。

35-g08-04.jpg
图4

添加后,在“选择花衣服”处选择一个加花方案,例如选择蝴蝶二号(四套方案之间的区别不能直接判断,所以这里随机选择即可),“区段名”修改成自己喜欢的名字,“区段大小”可以默认不改,最后点击“穿衣”就完成了全部操作。

较专业的怒剑狂花

工具特点:需要自己选择花指令

工具大小:721KB

怒剑狂花支持自定义加花、重复加花(需要花指令本身支持)、双重跳转等,是一款较专业的加花工具,适合有一定黑客知识基础的用户使用。启动该工具后,看到工具界面(图5),在“文件位置”处添加木马文件。

在“选择花指令”处选择“破说原创1”或者“破说原创2”,默认“区段名”和“区段大小”的原设置,点击“加花”按钮就完成了操作。如果要添加自己的花指令,该如何操作呢?点击“设置”,选择“自定义”,在弹出的自定义窗口中点击“添加”,在弹出的花指令添加窗口中输入花指令即可(图6)。

35-g08-05.jpg
图5
35-g08-06.jpg
图6

加壳是另外一种常见的木马免杀,它相当于给木马穿上了盔甲,木马如何才能穿上盔甲呢?下期更加精彩,不容错过!

识破捆绑类免杀木马

在“木马变身记”中,我们知道木马的传播途径主要有两种,一种是捆绑,一种是变成网页木马,不同传播途径的免杀木马应对的方法也不同。下面,我们先说如何对付捆绑类免杀木马(不管是加花,还是其他免杀手段,防范方法都是一样的)。

捆绑类免杀木马不能自动运行,必须要用户运行文件后才能激活,所以防范的要点就是在文件运行前,将可疑的文件上传到多引擎在线病毒扫描网站(www.virscan.org),点击网页中的“选择”按钮,在弹出的窗口中选择可疑的文件,网站会用多个杀毒引擎对文件进行扫描。

扫描结束后,如果10%以上的杀毒软件或者知名杀毒软件报警,就最好不要运行文件。那什么文件是可疑文件呢?非知名网站下载的软件、电影等资源,QQ群共享里面的资源,QQ中陌生人发来的东东……