木马实例

5
木马种类
破坏型 密码发送型 远程访问型 键盘记录木马 DoS攻击木马
6
木马种类
代理木马 FTP木马 程序杀手木马 反向连接木马 网页木马
7
木马技术的发展
第一代木马：功能简单，将自己伪装成特 殊的程序或文件,诱使用户输入数据，木马 将自动记录数据并转发入侵者。 例：NetSpy 第二代木马: 现代木马的雏形，提供几乎 所有能够执行的远程控制操作 例: BO2000, Sub7, 冰河、广外女生
35
36
木马的检测
检查开放的端口:一般的木马都会在系统中 监听某个端口,可以通过查看系统上开启的 端口来判断是否有木马在运行 使用netstat –an 列出系统当前已建立的 连接和正在监听的端口
37
38
木马的检测
使用IceSword等工具检查隐藏的服务、进 程、注册表项等。
39
木马的清除
23
网页木马与漏洞
漏洞是网页木马存在和发展的基础，网页 木马主要利用两种类型的漏洞：
逻辑型漏洞：利用系统本身提供的一些功能来 完成木马的下载和执行 溢出型漏洞：利用程序中的一些漏洞来获得浏 览器的控制权
24
网页木马与漏洞
2001年微软IE漏洞:在处理MIME头中的ContentType:处指定的某些类型时存在问题，攻击者可以 利用此缺陷在客户端执行任意命令。IE浏览器遇到 如下代码会执行恶意代码
26
网页木马与漏洞
如果把bstrUrl设置为某个服务器中的 CAB文件，DloadDS()函数会尝试下载该 文件到TEMP目录并解压，然后执行其中以 bstrName命名的文件。攻击者可以构造包 含木马或者间谍软件的CAB文件。
27
网页木马与漏洞
2007年6月Web迅雷漏洞： 组件名称是 ”ThunderServer.webThunder.1”, 可使用Js代码new ActiveXObject (“ThunderServer.webThunder.1”) 激活该组件,攻击者可利用组件提供函数 完成木马从下载到运行的全过程
手工清除：找到木马文件、结束木马进程、 删除木马文件、进行善后处理 使用木马专杀工具清除木马
40
木马的预防
防止电子邮件传播木马：不要随意运行邮件中 的附件，显示文件类型的扩展名;主题不明确或 主题很有诱惑性的邮件，把邮件保存到硬盘， 用杀毒软件查杀后再打开。 防止下载时感染木马：把下载工具和杀毒软件 进行捆绑。
inprocServer32: c:\Program Files\baidu\bar \BaiduBar.dll ClassID: A7F05EE4-0426-454F-8013-C41E3596E9E9 [id(0x0000001d),helpstring(“method DloadDS”)] Void DloadDS( [in] BSTR bstrUrl , [in] BSTR bstrName, [in] long lShow ) ;
21
网页木马传播手段
被动传播 QQ尾巴传播
22
网页木马传播手段
被动传播：通过网页载体实现网页木马的 传播。
QQ尾巴传播：利用QQ传播木马病毒，称为”QQ尾 巴”或”QQ木马”, 病毒隐藏在用户系统中，发作 时会查找QQ窗口,向在线上的QQ好友发送假消 息，诱惑用户单击网址链接。
早期QQ尾巴在QQ用户发送的消息之后自动附加一段文 字 后期变种会自动检测好友上线,并偷偷自动发送消息
17
木马启动方式
修改注册表
注册自启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Wind ows\currentVersion\Run 注册服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\cur rentVersion\RunServices
HKEY_CLASSES_ROOT\exefile\shell\open\command HKEY_CLASSES_ROOT\inffile\shell\open\command HKEY_CLASSES_ROOT\inifile\shell\open\command HKEY_CLASSES_ROOT\txtfile\shell\open\command
28
网页木马与漏洞
组件关键函数： (1)SetBrowserWindowData: 新建浏览器窗口 (2)SetConfig: 设置web迅雷 (3)HideBrowserWindow: 隐藏浏览器 (4)AddTask： 添加下载任务 (5)SearchTask:搜索任务，等到任务ID及文件下 载状态等详情 (6)OpenFile： 根据任务ID打开文件
源自文库12
木马欺骗方式
木马欺骗方式
捆绑欺骗 邮件冒名欺骗 压缩包伪装 网页欺骗
13
木马的隐藏方式
任务栏隐藏 任务管理器隐藏 隐藏通信端口 隐藏加载方式 修改图标 自我销毁 更名 捆绑文件
14
木马启动方式
在win.ini中启动：修改Win.ini的 [windows]字段中的启动命令load=和 run= 例： run=c:\windows\sample.exe load=c:\windows\sample.exe
1
木马原理
木马组成：
由服务器端程序和客户端程序组成。 服务器端程序安装在被控制对象的计算机 上，客户端程序安装在控制者的计算机上 控制者使用客户端程序控制用户的计算 机，实现对远程计算机的控制 。
2
木马原理
木马特点：
伪装性：伪装成其他程序来迷惑用户 潜伏性：能够毫无声响的打开端口等待外部链 接或主动发起连接 隐蔽性：运行隐蔽，甚至使用进程管理器都无 法发现 不易删除：采用了多种自我保护技术手段，难 以彻底清除
41
防止浏览网页时传播木马：对IE进行安全设置。 使用防火墙 ：阻止任何木马连接到黑客并进行远程 访问 。
42
3
木马原理
木马主要功能：
随系统启动 入侵时时无需系统认证 远程控制 密码截取 屏幕监视 支持邮件发送 主动连接
4
木马原理
入侵者使用木马的主要目的： 入侵：当无法基于漏洞和认证入侵时 留后门：由于木马连接不需要系统认证且 隐蔽性好，可使用木马留后门以便以后能 继续控制远程主机 窃取机密：自动将用户输入的关键信息， 如网络账号和密码等发送到指定邮箱
29
网页木马与漏洞
Windows 中的矢量标记语言 (VML) 实施中存 在一个远程执行代码漏洞。 攻击者可能通过构建 特制的网页或 HTML 电子邮件来利用该漏洞，当 用户访问网页或查看邮件时，该漏洞可能允许远 程执行代码。成功利用此漏洞的攻击者可以完全 控制受影响的系统
溢出型漏洞：MS07004漏洞：Microsoft
木马
木马：是一种在远程计算机之间建立连接，使远 程计算机能够通过网络控制本地计算机上的程 序，通常以人们所知晓的合法正常程序的面目出 现。 从本质上讲，木马程序属于远程管理工具的范 畴，其目的在于通过网络进行远程管理控制 区别：远程控制软件的服务器端会出现很醒目的 标志，而木马的服务器端在运行时则使用多种手 段来隐藏自己。
18
木马启动方式
修改文件关联
例：冰河木马 HKEY_CLASS_ROOT\txtfile\shell\open\co mmand 下键值 “%SystemRoot%\system32\NOTEPAD.exe %1” 修改为 “C:\Windows\system\Virus.exe %1”
捆绑文件
19
Content Type: audio/xwav; name=“hello.bat” Content-transfer-encoding:quoted-printable Content-ID:<THE-CID> echo OFF dir *.*
25
网页木马与漏洞
2007年7月百度超级搜霸BaiduBar.dll ActiveX 控件远程代码执行漏洞，漏洞存在于ActiveX控件 BaiduBar.dll中到处的DloadDS()函数中
15
木马启动方式
在system.ini中启动:修改system.ini 的[boot]字段的shell=Explorer.exe [386Enh]字段的driver=路径\程序名 [mic] [drivers] [drivers32]字段 例： shell=Explorer.exe sample.exe
30
木马实例—冰河
冰河的清除
1)从任务管理器中结束kernel32.exe和 Sysexplor.exe进程 2)修改注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 删除注册表值 C:\Windows\system32\Kernel32.exe
8
木马技术的发展
第三代木马：由服务器端被动连接变为服 务端主动连接，以绕过网络防火墙的检测 例：灰鸽子 第四代木马：利用远程线程插入技术，将 木马线程插入DLL线程中, 使系统难以发现 木马的存在，逃避防火墙对特定程序通信 的拦截
9
木马连接方式
传统连接方式 ( C/S连接方式 )
远程主机开放端口等待外部连接，成为服务 端，入侵者作为客户端主动发出连接请求从而 建立连接 客户端需要获得服务端即远程主机的IP地址和 端口号，不适合与动态IP地址或局域网内的主 机建立连接 一二代木马采用传统连接方式
网页木马
网页木马：传播恶意代码的手段，用户在 访问一个黑客恶意构造的Web页面以后，会 在不知觉的情况下自己的系统被植入木马。 网页木马利用一些已知或者未知系统或者 第三方软件的漏洞，然后悄悄下载病毒木 马盗用户计算机中病执行。
20
网页木马
网页木马种类：
静态或动态网页木马 邮件网页木马 CHM网页木马 隐藏在媒体文件中的RM/RMVB网页木马 WMV网页木马 FLASH网页木马
32
木马的检测
检查是否存在陌生进程
33
木马的检测
检查启动项
HKEY_LOCAL_MACHIN\SOFTWARE\Microsoft\Windows\ CurrentVersion下的
Run RunServices RunOnce RunOnceEx
34
木马的检测
检查注册表
检查文件关联项,查看是否有关联木马程序
16
木马启动方式
通过启动组实现自启动
C:\documents and settings\ Administrator\Start Menu\ Programs \Startup
注册表启动组
HKEY_CURRENT_USER\Software\MICROSOFT\Win dows\CurrentVersion\Explorer\ShellFolder 下的Startup键值,更改启动组路径
10
木马连接方式
反向连接方式
由远程主机主动查找客户端建立连接，客户端 则开放端口等待连接 可穿透一定设置的防火墙 三四代木马同时支持C/S连接方式和反向连接 方式
11
木马工作原理
反向连接原理：
木马客户端将自己的IP地址及监听端口号发送 给一个中间机器 木马服务端连接中间机器，获取服务端目前的 IP地址和端口信息 木马服务端主动向客户端发起请求，直到双方 建立连接成功
31
木马实例—冰河
3)修改注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Runservices 4)处理文件关联 修改HKEY_CLASSES_ROOT\txtfile\shell \open\command\ 恢复关联项 c:\windows\system32\notepad.exe %1