木马的传播与运行技术分析

木马的传播与运行技术分析

摘要：木马以其隐蔽性强，传播迅速快以及窃取信息等手段成为当前网络信息系统面临的安全威胁中危害最为严重的攻击手段之一。文中重点分析了木马进行传播和运行主要采用的相关技术和方法。

关键词：木马 传播木马 运行木马 1、木马配置方法

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两个功能：

木马伪装：木马配置程序为了在服务端尽可能隐藏好木马，会采用多种伪装手段如修改图标、捆绑文件、定制端口、自我销毁等。

信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址、IRC号、ICQ号等等。

2、木马传播方法

传播方式：木马的传播方式主要有两种：一种是通过E-mail，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

伪装方式：鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉欺骗用户的目的。

2.1 修改图标

现在已经有木马可以将木马服务端程序的图标改成HTML，TXT，ZIP等各种文件的图标，有相当大的迷惑性。图标修改往往和文件改名是一起进行的，黑客往往将文件的名称取得非常的诱人，比如“漂亮的妹妹”之类，骗用户去运行它。当木马服务端程序运行以后，服务端程序也会将自己的进程设置为和正常的系统进程相似的名称，从而使用户不容易产生怀疑，被其麻痹。

2.2 捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉情况下，偷偷地进入了系统。至于被捆绑的文件一般是可执行文件（即EXE，COM一类的文件）。

2.3 出错显示

有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框（这当然是假的），错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了你的系统。

2.4 定制端口

很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多木马都加入了定制端口的功能。

3、木马运行方法

服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到Windows的系统文件夹中（c：＼Windows，c：＼Windows＼system或c：＼Windows＼temp目录下），然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。安装后就可以启动木马了，具体过程如图1所示。

3.1 由触发条件激活木马

触发条件是指启动木马的条件，大致出现在下面八个地方：注册表：

打开HKEY-LOCAL-MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼的Run和RunServices主键，在其中寻找可能是启动木马的键值。

WIN.INI：C：＼ Windows目录下有个配置文件system.ini，用文本方式打开，在[386Enh]，[mic]，[drivers32]中有命令行，在其中寻找木马的启动命令。

Autoexec.bat和config.sys：在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传服务端覆盖这两个文件才行。

INI：即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

注册表：打开HKEY-CLASSES-p启动菜单：在“开始-程序-启动”选项下也可能有木马的触发条件。

3.2 木马运行过程

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入NETSTAT-AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。

在上网过程中要下载软件，发送信件等必然打开一些端口。除常用外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑是否感染了木马。

综上所述，当今的时代是信息时代，电脑的编程技术也是突飞猛进的，木马的功能和特性也在快速发展着，因此，我们还需不断的学习，使我们的防御技术能够不断向前发展。

参考文献

[1]乔建惠.数字视频远程监控系统开发研究.科技广场，2005：84～88.

[2]杨彦，黄皓.基于攻击树的木马检测方法[J].计算机工程与设计，2008，29（11）：2711-2714.