MM中木馬,求助高手
曉陽是一名普通的公務(wù)員,喜歡不時研究點網(wǎng)絡(luò)安全技術(shù),
捆綁軟件制作及防范方法
。今天在忙完手頭的工作后閑得無聊,正準(zhǔn)備上網(wǎng)瞧瞧,新來的女同事小章愁眉苦臉的來到他的面前,說她的電腦有問題,讓曉陽幫忙看看。“美女開口,豈敢不從”,曉陽開著玩笑來到小章的電腦前。通過仔細(xì)觀察,曉陽發(fā)現(xiàn)即使是沒有任何操作,小章的電腦硬盤的指示燈也不停地閃爍,而且桌面的鼠標(biāo)也在不斷地滑動并進(jìn)行著文件夾的打開等操作,就像有一個人正在面前操作這臺電腦一樣。通過這一系列的現(xiàn)象,曉陽已經(jīng)明白小章的電腦程序中木馬了。
曉陽知道,對于小章這樣的MM,想入侵她們的電腦,可以說相當(dāng)容易,但入侵者到底是如何進(jìn)入的呢?“你的電腦被安裝了一種被稱為‘木馬’的 程序,你想想什么時候發(fā)現(xiàn)電腦出現(xiàn)問題的?”曉陽對小章說道!皠倓偩W(wǎng)上的一個網(wǎng)友說有一個好看的Flash動畫,問我要不要看看,我答應(yīng)后他就傳給我了。你看就是這個Flash動畫!毙≌抡f著指向電腦桌面上的一個文件。
曉陽一眼就看出這個Flash文件的問題,因為這個圖標(biāo)嚴(yán)重失真,并且肯定入侵者是通過文件捆綁這種方式進(jìn)行木馬傳播的。還好,這是一個目前比較流行的木馬。曉陽升級了MM電腦中殺毒軟件的病毒庫,順利清除了木馬。
小貼士:入侵者的入侵方法,最常用的要算是文件捆綁了,就是將惡意程序和其他的一些正常的數(shù)據(jù)(或文件)捆綁到一起,然后通過各種手段欺騙用戶運行偽裝好的程序進(jìn)行惡意程序安裝。
重現(xiàn)捆綁陷阱選擇捆綁工具
“那入侵者是怎樣進(jìn)行捆綁的呢?”小章問道。“我還是給你演示一下吧!” 曉陽說。曉陽知道,要進(jìn)行文件捆綁的話,要一種木馬捆綁機才行,常見捆綁機包括EXE文件捆綁機、萬能文件捆綁器、GWBinder2002等。可是由于這種捆綁機的捆綁原理已經(jīng)被廣大用戶所掌握,用戶可以通過多種手段檢測出捆綁的惡意程序。即使小章不能發(fā)現(xiàn),可殺毒軟件卻可以將幾乎所有的捆綁類軟件進(jìn)行查殺, 一定明白這個道理。
曉陽在網(wǎng)上看到一款名為永不查殺的捆綁機的小工具,它是由灰鴿子工作室開發(fā)的一款不被查殺的多文件捆綁工具(如圖)。
曉陽知道,在這款捆綁機推出之前,灰鴿子工作室曾經(jīng)推出過一款名為萬能文件捆綁器的工具,正是由于它采用了傳統(tǒng)的捆綁方式,所以它已經(jīng)被殺毒軟件所查殺了,
電腦資料
《捆綁軟件制作及防范方法》(http://m.msguai.com)。而這次全新開發(fā)的這款捆綁機,不但在操作界面上完全采用了前一款捆綁機的界面,另外在捆綁方式上完全模擬了微軟的IExpress程序來將多個不同類型的文件進(jìn)行捆綁。小貼士:IExpress是專用于制作各種 CAB 壓縮與自解壓縮包的工具,由于是Windows自帶的程序,所以制作出來的安裝包具有很好的兼容性。它可以幫助入侵者制造出不被殺毒軟件查殺的自解壓包,而且一般情況下還可偽裝成某個系統(tǒng)軟件的補丁來迷惑人(關(guān)于IExpress的介紹,大家可以查看《電腦報》2005年第23期的《Windows為你打造“免檢”木馬》一文)。
制作木馬捆綁文件
曉陽運行捆綁機程序,點擊“添加文件”按鈕添加要捆綁的文件,他選擇了一個Flash動畫和一個木馬程序。雖然捆綁程序可以對2個以上的文件進(jìn)行捆綁,并且支持各種類型的文件格式,這里曉陽還是只選擇了這2個文件。
接著曉陽在“安裝首次運行”選項中設(shè)置為Flash動畫,而在“當(dāng)首次結(jié)束再運行”選項中設(shè)置為木馬程序,再在“窗口運行狀態(tài)”中對文件的窗口運行情況進(jìn)行設(shè)置。最后為捆綁文件選擇一個圖標(biāo),捆綁機本身已經(jīng)為用戶準(zhǔn)備了大量的候選圖標(biāo),由于曉陽捆綁的文件是Flash動畫,于是他選擇了一個Flash動畫的圖標(biāo)。
雖然候選框中已經(jīng)有一個Flash動畫的圖標(biāo)可以選擇,但曉陽覺得不太滿意,于是點擊“選擇圖標(biāo)”按鈕來選擇一個自己覺得滿意的圖標(biāo)。
小貼士:永不查殺的捆綁機除了可以支持常見的圖標(biāo)圖片文件外(*.ICO,*.BMP),還可以從可執(zhí)行文件(*.EXE)和動態(tài)鏈接庫文件(*.DLL)中提取相關(guān)的圖標(biāo)進(jìn)行使用。
經(jīng)過選擇,曉陽還是從Flash程序中提取了一個圖標(biāo)進(jìn)行使用,然后點擊“捆綁文件”按鈕就生成了自己需要的捆綁文件。曉陽立刻啟動殺毒軟件進(jìn)行查殺,結(jié)果真的不會被查殺!斑@就是 入侵你的電腦的整個過程”,曉陽看著小章說道,只見她的眼睛睜得大大的。
為MM支招
其實,通過文件捆綁進(jìn)行惡意文件傳播已經(jīng)不是什么新方法了,可是入侵者通過不斷的“改進(jìn)”,使得捆綁的方法層出不窮,所以給防范帶來了不少困難。
比如現(xiàn)在很多入侵者通過正規(guī)的壓縮程序進(jìn)行捆綁。其實要檢測文件是否是用壓縮程序制作的自解壓文件非常簡單。在可疑的文件上點擊鼠標(biāo)右鍵,選擇“屬性”命令,如果在彈出窗口中看到有“壓縮文件”這樣的標(biāo)簽,并且在標(biāo)簽的描述中會出現(xiàn)“自解壓格式 XXX 壓縮文件”的內(nèi)容,這就表示它是一個自解壓的文件。
接著通過系統(tǒng)中的壓縮程序,比如用戶的系統(tǒng)安裝了WinRAR的話,直接通過右鍵菜單中的解壓命令進(jìn)行文件解壓,然后在解壓的文件夾中檢查是否有捆綁的惡意程序。