4.2 木马常用的伪装手段
由于木马的危害性比较大,所以很多用户对木马也有了初步的了解,这在一定程度上阻碍了木马的传播。这是运用木马进行攻击的黑客所不愿意看到的。因此,黑客们往往会使用多种方法来伪装木马,迷惑用户的眼睛,从而达到欺骗用户的目的。木马常用的伪装手段很多,如伪装成可执行文件、网页、图片或电子书等。
4.2.1 伪装成可执行文件
利用EXE捆绑机可以将木马与正常的可执行文件捆绑在一起,从而使木马伪装成可执行文件,运行捆绑后的文件相当于同时运行了两个文件。将木马伪装成可执行文件的具体操作步骤如下。
Step 01 下载并解压缩EXE捆绑机,双击其中的可执行文件,打开“EXE捆绑机8.3版”主界面。
Step 02 单击“点击这里指定第一个可执行文件”按钮,打开“请指定第一个可执行文件”对话框,在其中选择第一个可执行文件。
Step 03 单击“打开”按钮,返回到“指定第一个可执行文件”对话框。
Step 04 单击“下一步”按钮,打开“指定第二个可执行文件”对话框。
Step 05 单击“点击这里指定第二个可执行文件”按钮,打开“请指定第二个可执行文件”对话框,在其中选择已经制作好的木马文件。
Step 06 单击“打开”按钮,返回到“指定第二个可执行文件”对话框。
Step 07 单击“下一步”按钮,打开“指定保存路径”对话框。
Step 08 单击“点击这里指定保存路径”按钮,打开“保存为”对话框,在“文件名”文本框中输入可执行文件的名称,并设置文件的保存类型。
Step 09 单击“保存”按钮,即可指定捆绑后文件的保存路径。
Step 10 单击“下一步”按钮,打开“选择版本”对话框,在“版本类型”下拉列表中选择“普通版”选项。
Step 11 单击“下一步”按钮,打开“捆绑文件”对话框,该对话框提示用户开始捆绑第一个可执行文件与第二个可执行文件。
Step 12 单击“点击这里开始捆绑文件”按钮,即可开始进行文件的捆绑。待捆绑结束后,即可看到“捆绑文件成功”提示框。单击“确定”按钮,即可结束文件的捆绑。
提示:黑客可以使用木马捆绑技术将一个正常的可执行文件和木马捆绑在一起。一旦用户运行这个包含木马的可执行文件,就可以通过木马控制或攻击用户的计算机。
4.2.2 伪装成自解压文件
利用WinRAR的压缩功能可以将正常的文件与木马捆绑在一起,并生成自解压文件,一旦用户运行该文件,同时也会激活木马文件,这也是木马常用的伪装手段之一。将木马伪装成自解压文件,具体的操作步骤如下。
Step 01 准备好要捆绑的文件,这里选择的是蜘蛛纸牌.exe和木马.exe文件,并存放在同一个文件夹下。
Step 02 选中蜘蛛纸牌.exe和木马.exe文件所在的文件夹并右键,在快捷菜单中选择“添加到压缩文件”选项,随即打开“压缩文件名和参数”对话框。
Step 03 在“压缩文件名”文本框中输入要生成的压缩文件的名称,并勾选“创建自解压格式压缩文件”复选框。
Step 04 选择“高级”选项卡,在其中分别勾选“保存文件安全数据”“保存文件流数据”“后台压缩”“完成操作后关闭计算机电源”“如果其他WinRAR副本被激活则等待”复选框。
Step 05 单击“自解压选项”按钮,即可打开“高级自解压选项”对话框,在“解压路径”文本框中输入解压路径,并选中“在当前文件夹中创建”单选按钮。
Step 06 选择“模式”选项卡,在其中选中“全部隐藏”单选按钮,这样可以增加木马程序的隐蔽性。
Step 07 为了更好地迷惑用户,还可以在“文本和图标”选项卡下设置自解压文件窗口标题、自解压文件图标等。
Step 08 设置完毕后,单击“确定”按钮,返回“压缩文件名和参数”对话框。在“注释”选项卡中可以看到自己所设置的各项。
Step 09 单击“确定”按钮,即可生成一个名为“蜘蛛纸牌”自解压的压缩文件。这样用户一旦运行该文件后就会中木马。
4.2.3 将木马伪装成图片
将木马伪装成图片是许多木马制作者常用来骗对方执行木马程序的方法,例如将木马伪装成GIF、JPG等,这种方式可以使很多人中招。用户可以使用“图片木马生成器”工具将木马伪装成图片,具体的操作步骤如下。
Step 01 下载并运行“图片木马生成器”程序,打开“寻梦图片木马生成器V1.0”主窗口。
Step 02 在“网页木马地址”文本框和“真实图片地址”文本框中分别输入网页木马和真实图片地址;在“选择图片格式”下拉列表中选择“jpg”选项。
Step 03 单击“生成”按钮,随即弹出“图片木马生成完毕”提示框,单击“确定”按钮,关闭该提示框,这样只要打开该图片,就可以自动把该地址的木马下载到本地并运行。
4.2.4 将木马伪装成网页
网页木马实际上是一个HTML网页,与其他网页不同,该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。下面以“最新网页木马生成器”为例介绍制作网页木马的过程。
提示:在制作网页木马之前,必须有一个木马服务器端程序,在这里使用生成木马程序文件名为“muma.exe”。
Step 01 运行“最新网页木马生成器”主程序后,即可打开其主界面。
Step 02 单击“选择木马”文本框右侧“浏览”按钮,打开“另存为”对话框,在其中选择刚才准备的木马文件“木马.exe”。
Step 03 单击“保存”按钮,返回到“最新网页木马生成器sp2”主界面。在“网页目录”文本框中输入相应的网址,如http://www.index.com/。
Step 04 单击“生成目录”文本框右侧“浏览”按钮,打开“浏览文件夹”对话框,在其中选择生成目录保存的位置。
Step 05 单击“确定”按钮,返回到“最新网页木马生成器sp2”主界面。
Step 06 单击“生成”按钮,会弹出一个信息提示框,提示用户“网页木马创建成功!”,单击“确定”按钮,即可成功生成网页木马。
Step 07 在“7.20wangye”文件夹中将生成bbs003302.css、bbs003302.gif及index.htm 3个网页木马。其中index.htm是网站的首页文件,而另外两个是调用文件。
Step 08 将生成的3个木马上传到前面设置的存在木马的Web文件夹中,当浏览者一旦打开这个网页,浏览器就会自动在后台下载指定的木马程序并开始运行。
提示:在设置存放木马的Web文件夹路径时,设置的路径必须是某个可访问的文件夹,一般位于自己申请的一个免费网站上。