| 2004年典型木马及反木马软件综述(木马软件篇) |
| 责任编辑:stef 更新日期:2005-7-6 |
|
|
众所周知,木马(特洛伊木马)是一种基于远程控制的黑客工具。与病毒不同,木马并不会自我繁殖,也不会去感染其他文件,其主要目的是盗窃你的帐号密码,打开你的电脑端口、让黑客能控制你。2004年以来国内木马数量激增,病毒制造者更倾向于制造、传播木马病毒,国内出现了用木马进行盗窃的犯罪活动,例如利用木马盗窃你的网游帐号密码、网上银行的资金,给许多朋友带来了巨大的经济损失。OK,下面我们来分篇介绍最新的典型木马及反木马软件,希望能给你查杀木马带来帮助!
典型木马篇
目前木马病毒数量众多(已达到了五位数),而且新木马及其变种还在源源不断地涌现,如果根据木马针对的领域划分,我们可以把2004年常出现的木马分成五大类:即网游类木马、广告类木马、通讯类木马、后门类木马、网银类木马。从危害范围来看,网游木马危害最为严重,其次是广告木马也包含恶作剧程序,再次是即时通讯木马,接下来危害也比较大的是后门木马病毒,排在最后的是网银木马。
一、网游类木马
如今国内网络游戏玩家众多,网上虚拟装备交易火爆,于是大批针对网络游戏的木马病毒涌现。这些木马盗窃网游的账号、密码及游戏装备,发送给它的主人,供木马使用者出售获利。其中危害最大的有传奇男孩、剑侠幽灵、蜜蜂大盗。
1、传奇男孩(Troj.MirBoy)
传奇男孩是针对传奇游戏的木马病毒,专门偷取用户的传奇账户与密码,发送到黑客指定的邮箱中。如今针对传奇游戏的木马病毒很多,而且不断出现新变种。这类木马刚开始偷账号,现在已经发展到能阻止杀毒软件的运行,传奇男孩就是其中的典型代表。
该病毒侵入用户电脑后,会将自身拷贝到系统目录,然后在注册表中修改键值,以便系统启动时自动加载;它还会终止系统中各类反病毒软件,如天网防火墙,ZoneAlarm等。
2、蜜蜂大盗(Win32.Troj.MiFeng70)
该木马为冰枫工作室制作,偷窃以下软件的密码:QQ、传奇、奇迹、千年、红月、倚天、决战、大话西游、石器时代、遗忘传说、DVAQ,并将密码发到指定信箱。木马运行后会将自身复制到系统目录下,文件名保持不变,在系统安装目录中生成isUn0404.exe、isUn0804.exe、isUninst.exe;在注册表主键HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加键值"internet"="%SYSTEM%"\%VIRUSNAME%";对注册表主键HKLM\SOFTWARE\Classes \xtfile\shell\open\command修改键值"默认"="%SYSTEM%"\%VIRUSNAME%" "%1";在C:Autoexec.bat中添加内容net stop "Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)">C:BOOTEX.LOG。
木马运行后硬盘会狂运作,监听UDP2222端口,监视杀毒软件木马克星、瑞星。木马通过http://ip.loveroot.com/showip.php获得感染机器的IP信息,会到http://freehostwebsamba.com/ryabcdefg/mf6db/index.asp?eve=gip&mailid=检查是否被注册。
3、剑侠幽灵(Troj.JXGhost.a)
随着“剑侠情缘”网络版在网络中的广泛流行,针对该游戏的木马病毒也随之而生,剑侠幽灵就是这类木马中的代表。
该木马在网络中通过各种途径传播,窃取剑网玩家的帐号与密码,造成用户的隐私泄漏及系统的不稳定。木马感染系统后,会监视系统中剑网客户端的运行,记录玩家的帐号及密码,并发送给指定的Email地址。
二、广告类木马
此类木马通常修改IE等网页浏览器的主页,收集系统信息发送给传播该木马的网站,其中更恶毒者会修改网页定向,导致一些正常的网站不能登录。
三、即时通讯类木马
此类木马利用即时通讯工具(比如:QQ、MSN)进行传播。中毒后,你的电脑会下载病毒作者指定的任意程序,其危害不可确定,可导致用户的经济损失,有的还会制造恶作剧,中毒者向联系人发送“我今天要结婚”的恶作剧消息。此类木马中危害最大的有QQ 狩猎者、记事本幽灵。
1、QQ 狩猎者(Troj.QQmsg)
该木马会偷取传奇等游戏的密码,发送到指定的信箱中,还可以关闭某些防毒软件和网镖等防火墙。中了该木马后,IE主页将被修改为http://nv520.com/htm;当你用QQ聊天时,会自动发送如下消息:http://nv520.com/jpg刘得华同性恋被偷拍........春节到了,祝你万事如意身体健康http://nv520.com/serch.htm。。。
木马运行后,复制两份病毒体到%SystemRoot%中,文件名为"sendmess.exe";在%SystemRoot%目录中生成文件"qq32.ini",在%System%目录生成文件"qqmess.dll";释放另一个传奇木马到"%SystemRoot%intrenat.exe","%System%qqmewf.exe","%System%WinSocks.dll";在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加键值"QQ"="%SystemRoot%sendmess.exe","intrenat"="%SystemRoot%intrenat.exe";在注册表主键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services中添加键值"intrenat"="%SystemRoot%intrenat.exe";在注册表主键HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中添加键值"Start Page"="http://nv520.com/htm"
2、记事本幽灵(Win32.Troj.Axela.w)
该病毒通过QQ聊天软件,自动向用户的好友发送含有病毒网址的消息,病毒网页上有一个flash文件,一旦你打开该网页就会自动下载病毒程序。
病毒会在用户的电脑上生成文件%Windir%\System\windll.dll,其内容是:"AllJapanesArePigs",当病毒再次被运行后,将修改IE默认主页项,只要你打开IE,病毒就连接到指定的网站,干扰用户的正常工作。另外,用户每次打开文本文件时,都会运行该病毒,其进程名字为Oteped.exe和Taskmgr.exe,病毒伪装任务管理器程序,迷惑用户。
四、后门类木马
此类木马采用了反弹端口技术,防火墙对它们也不起作用。因为你的电脑中毒后,会主动连接黑客电脑的80端口,防火墙会认为你在浏览网页,不会加以阻止,因此你的防火墙就形同虚设。这样你的系统就完全暴露在黑客手中,黑客可以对用户进行远程文件和注册表的操作,捕获被控制电脑的屏幕,远程重启和关闭计算机,禁用系统热键和注册表编辑器。此类木马中危害最大的有灰鸽子、黑洞、安哥。
1、灰鸽子(Hack.Huigezi)
手工清除方法:首先要禁止它开机自动运行,点开始/运行,输入msconfig点确定,在系统配置实用程序中选“启动项”,然后把SVCHOST前面的勾去掉,点确定后退出;接下来在运行中输regedit 进入注册表,查找SVCHOST(注意是大写的),删除找到的SVchost.ini、mapis32a.dll、%systemroot%F4.Jpg,关机重启;最后运行TcpView,检查你的8225端口是否开着。
2、黑洞(Backdoor/BlackHole.2004)
黑洞病毒于2004年8月被截获,它可以窃取用户BIOS密码、屏幕保护密码、基于NT核心的登陆密码、FOXMAIL密码、OUTLOOK密码和IE自动完成密码等;可记录用户电脑的一切键盘输入,包括中英文输入,直接威胁用户的隐私安全。
黑洞可按反弹端口方式进行连接,这样病毒能穿透一般防火墙、渗透到内部网络;它还自带IP数据库,当黑客与被感染机器建立连接后,即能看到用户所在的实际地理位置,使得黑客在挑选攻击对象时,能有所选择。类似国产冰河、灰鸽子等黑客控制软件,黑洞可以让黑客监控染毒的电脑,远程开启用户USB摄像头,并将其偷拍数据转换为Mpeg文件传给黑客观看,远程查看或关闭用户所有进程,非法观看远程桌面、远程重启关机,以及所有资源/文件,并可以控制上传下载。与“蜜蜂大盗”相比,该病毒功能更强,增加了通过麦克风,远程捕获用户声音的能力。
该病毒运行后,将在感染的电脑上创建文件%WinDir%\server.exe(207982字节);在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加启动项:"111" = %WinDir%\server.exe这样系统启动时,病毒即自动执行。它可以用dll方式注入到任意进程(包括explorer.exe,IE浏览器,notepad.exe 等系统进程)中,具有更强的隐蔽性,而且病毒名、大小、隐藏路径都是不定的,这就给用户发现和查杀病毒带来困难。
3、安哥(Hack.Agobot3.aw)
该病毒兼具黑客和蠕虫的功能,利用IRC软件开启后门,等待黑客控制。它试图偷取被感染电脑内的正版软件序列号等重要信息,可造成计算机不稳定,出现计算机运行速度和网络传输速度极剧下降,复制、粘贴等系统功能不可用,OFFICE和IE浏览器软件异常等现象。
该病毒运行后,将自身复制为%System%\scvhost.exe,在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加键值 "servicehost"="Scvhost.exe",在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicces中添加键值"servicehost"="Scvhost.exe"该病毒会中止许多知名反病毒软件和网络安全软件,利用RPC DCOM漏洞和WebDAV漏洞在网络中高速传播;使用内部包含的超大型“Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码表”猜口令的方式,重点攻击局域网中的计算机,感染整个局域网,造成网络瘫痪。
防范对策:升级金山毒霸到最新的病毒库,或下载“安哥”专杀工具(下载地址 http://www.duba.net/download/3/100.shtml);为系统打上MS03-026 RPC DCOM漏洞补丁(823980,下载地址http://support.microsoft.com/default.aspx?kbid=823980) 和MS03-007 WebDAV漏洞补丁(815021,下载地址http://support.microsoft.com/default.aspx?kbid=815021),并为系统管理员帐号设置一个更为强壮的密码。
手工清除方法:WinXP用户右击“我的电脑”,选“属性”/系统还原,首先关闭系统还原功能;然后按Ctrl+Alt+Del调出任务管理器,单击“进程”打开进程管理器,找到名为scvhost.exe的进程,并将其结束;打开注册表,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices,在右边的面板中, 找到并删除如下项目:"Enabledcom" = "irun4.exe";进入系统目录(\Winnt\System32或\Windows\System32),找到文件“irun4.exe”将它删除,注意清空回收站内的内容。
五、网银类木马
此类木马专门攻击网上银行,采用记录键盘和系统动作的方法,盗取网银的帐号和密码,并发送到作者指定的邮箱,直接导致用户的经济损失。目前国内针对网上银行的犯罪已经开始出现,例如今年某大学生利用网上银行盗取60多万人民币,几名中专生利用“网银大盗”木马盗窃网上银行用户资金,他们都是利用网银木马进行盗窃的。
网银大盗A(Troj.KeyLog.a)
今年4月江民公司截获了一个名为“网银大盗”的木马病毒,专门攻击中国工商银行的网上银行用户(使用数字IP地址登录的用户),盗取用户的账号和密码。
网银大盗运行后会设置与IE的关联,只要你一打开IE,病毒即开始工作。病毒每隔0.5秒搜索用户的浏览器窗口,如果发现你正在工行网上银行的登录界面,就会自动转到数字IP地址页面,然后记录用户键入的帐号和密码,通过电子邮件发给病毒作者。
工行之前为方便客户使用网上银行,曾提供了一种无安全认证的登陆页面(即数字IP地址页面)。该页面仅核对帐号和密码,不检查用户的数字证书,因此只要窃取了帐号和密码,即可从此处侵入网上银行。目前工行已经堵住了这个漏洞、取消了该登录页面,要求所有的网银用户都必须到工行网站下载数字证书,否则将不能登陆网上银行。
6月2日,江民公司又截获“网银大盗”新变种──网银大盗Ⅱ(Troj_Dingxa.A),与网银大盗只针对工行不同,新病毒可窃取中国绝大部分主流银行的网上银行帐号、密码、验证码等,其涉猎范围之广,在国内尚属首例。病毒运行时检查IE窗口标题栏,一旦发现当前IE窗口为银行的登录页面,即开始记录键盘输入的所有键值,然后发送给病毒作者。
2、防范对策
(2)、升级杀毒软件
安装带有隐私信息保护的杀毒软件(例如KV2004、金山毒霸等),并升级到最新的病毒库,开启病毒实时监控系统,启动隐私信息保护监视功能。
(3)、使用密码防盗工具
安装使用密码防盗的工具,例如“噬菌体防盗专家”、眼睛专杀工具等。“噬菌体防盗专家”可以对内存中的代码进行动态伪装,使对方截获的“猎物”只是一团无法识别的乱码,从而保护你输入的密码。另外,当木马要把窃取的密码向外发送时,它也可以进行拦截,并反馈用于接收密码的对方邮件账号。
 |
|
| 上一篇文章: 2004年典型木马及反木马软件综述(反木马软件篇) |
| 下一篇文章: 校园网内安全及病毒防护知识 |
|
|
|
|
