網路駭客欺騙執行木馬的方法！(轉)

網路駭客欺騙執行木馬的方法！(轉)[@more@]如今大多數上網的朋友警惕性都很高，想騙取他們執行木馬是件很困難的事，因為木馬出現這麼久，木馬兩個字聽得人們耳朵都長出了老繭，可說是談“馬”色變，即使不是電腦高手都知道，一見到是exe 檔案便不會輕易“招惹”它，因而中標的機會也就 相對減少了。對於此，駭客們是不會甘於寂寞的，在駭客的世界裡挑戰與刺激才是他們趨之若婺的。

　　　　1、冒充為影像檔案

　　　　首先，駭客最常使用騙別人執行木馬的方法，就是將特洛伊木馬說成為影像檔案，比如說是照片等，應該說這是一個最不合邏輯的方法，但卻是最多人中招的方法，有效而又實用 。

　　　　只要入侵者扮成美眉及更改伺服器程式的檔名(例如 sam.exe )為“類似”影像檔案的名稱 ，再假裝傳送照片給受害者，受害者就會立刻執行它。為甚麼說這是一個不合邏輯的方法呢？影像檔案的副檔名根本就不可能是 exe，而木馬程式的副檔名基本上又必定是 exe ，明眼人一看就會知道有問題，多數人在接收時一看見是exe檔案，便不會接收了，那有什麼方法呢? 其實方法很簡單，他只要把檔名改變，例如把“sam.exe” 更改為“sam.jpg” ，那麼在傳送時，對方只會看見sam.jpg 了，而到達對方電腦時，因為windows 預設值是不顯示副檔名的，所以很多人都不會注意到副檔名這個問題，而恰好你的計算機又是設定為隱藏副檔名的話，那麼你看到的只是sam.jpg 了，受騙也就在所難免了!

　　　　還有一個問題就是，木馬本身是沒有圖示的，而在電腦中它會顯示一個windows 預設的圖示，別人一看便會知道了！但入侵者還是有辦法的，這就是給檔案換個“馬甲”，即修改檔案圖示。

　　　　修改檔案圖示的方法如下:

　　　　（1）比如到 下載一個名為IconForge 的軟體，再進行安裝。

　　　　（2）執行程式，按下File > Open

　　　　（3）在File Type 選擇exe 類

　　　　（4）在File > Open 中載入預先製作好的圖示( 可以用繪圖軟體或專門製作icon 的軟體製作，也可以在網上找找) 。

　　　　（5）然後按下File > Save 便可以了。

　　　　如此這般最後得出的，便是看似jpg 或其他圖片格式的木馬了，很多人就會不經意間執行了它。

　　 2、合併程式欺騙

　　　　通常有經驗的使用者，是不會將影像檔案和可執行檔案混淆的，所以很多入侵者一不做二不休，乾脆將木馬程式說成是應用程式：反正都是以 exe 作為副檔名的。然後再變著花樣欺騙受害者，例如說成是新出爐的遊戲，無所不能的駭客程式等等，目地是讓受害者立刻執行它。而木馬程式執行後一般是沒有任何反應的，於是在悄無聲息中，很多受害者便以為是傳送時檔案損壞了而不再理會它。

　　　　如果有更小心的使用者，上面的方法有可能會使他們的產生壞疑，所以就衍生了一些合拼程式。合拼程式是可以將兩個或以上的可執行檔案(exe檔案) 結合為一個檔案，以後 o需執行這個合拼檔案，兩個可執行檔案就會同時執行。如果入侵者將一個正常的可執行檔案(一些小遊戲如 wrap.exe) 和一個木馬程式合拼，由於執行合拼檔案時 wrap.exe會正常執行，受害者在不知情中，背地裡木馬程式也同時執行了。而這其中最常用到的軟體就是joiner，由於它具有更大的欺騙性，使得安裝特洛伊木馬的一舉一動了無痕跡，是一件相當危險的駭客工具。讓我們來看一下它是如何運作的：

　　　　以往有不少可以把兩個程式合拼的軟體為駭客所使用，但其中大多都已被各大防毒軟體列作病毒了，而且它們有兩個突出的問題存在，這問題就是：

　　　　（1）合拼後的檔案體積過大

　　　　（2）只能合拼兩個執行檔案

　　　　正因為如此，駭客們紛紛棄之轉而使用一個更簡單而功能更強的軟體，那就是Joiner 了。此軟體不但把軟體合拼後的體積減少，而且可以待使用者執行後立馬就能收到一個icq 的資訊，告訴你對方已中招及對方的IP ，更重要的是這個軟體可以把影像檔案、音訊檔案與可執行檔案合拼，用起來相當方便。

　　　　首先把Joiner 解壓，然後執行Joiner ，在程式的畫面裡，有“First executable : ”及“ Second File : ”兩項，這兩行的右方都有一個資料夾圖示，分別各自選擇想合拼的檔案。

　　　　下面還有一個Enable ICQ notification 的空格，如果選取後，當對方執行了檔案時，便會收到對方的一個ICQ Web Messgaer ，裡面會有對方的ip ，當然要在下面的ICQ number 填上欲收取資訊的icq 號碼。但開啟這個功能後，合拼後的檔案會比較大。

　　　　最後便按下“Join” ，在Joiner 的資料夾裡，便會出現一個Result.exe 的檔案，檔案可更改名稱，因而這種“混合體”的隱蔽性是不言而喻的。

　　 3、以Z-file 偽裝加密程式

　　　　Z-file 偽裝加密軟體是臺灣華順科技的產品，其經過將檔案壓縮加密之後，再以 bmp影像檔案格式顯示出來(副檔名是 bmp，執行後是一幅普通的影像)。當初設計這個軟體的本意只是用來加密資料，用以就算計算機被入侵或被非法使使用時，也不容易洩漏你的機密資料所在。不過如果到了駭客手中，卻可以變成一個入侵他人的幫兇。 使用者會將木馬程式和小遊戲合拼，再用 Z-file 加密及將 此“混合體”發給受害者，由於看上去是影像檔案，受害者往往都不以為然，開啟後又只是一般的圖片，最可怕的地方還在於就連防毒軟體也檢測不出它內藏特洛伊木馬，甚至病毒！當打消了受害者警惕性後，再讓他用WinZip 解壓縮及執行 “偽裝體 (比方說還有一份小禮物要送給他)，這樣就可以成功地安裝了木馬程式。 如果入侵者有機會能使用受害者的電腦(比如上門維修電腦)，只要事先已經發出了“混合體，則可以直接用 Winzip 對其進行解壓及安裝。由於上門維修是赤著手使用其電腦，受害者根本不會懷疑有什麼植入他的計算機中，而且時間並不長，30秒時間已經足夠。就算是“明晃晃”地在受害者面前操作，他也不見得會看出這一雙黑手正在幹什麼。特別值得一提的是，由於 “混合體” 可以躲過反病毒程式的檢測，如果其中內含的是一觸即發的病毒，那麼一經結開壓縮，後果將是不堪設想。

　　　　4、偽裝成應用程式擴充套件元件

　　　　此類屬於最難識別的特洛伊木馬。駭客們通常將木馬程式寫成為任何型別的檔案 (例如 dll、ocx等) 然後掛在一個十分出名的軟體中，例如 OICQ 。由於OICQ本身已有一定的知名度，沒有人會懷疑它的安全性，更不會有人檢查它的檔案多是否多了。而當受害者開啟OICQ時，這個有問題的檔案即會同時執行。 此種方式相比起用合拼程式有一個更大的好處，那就是不用更改被入侵者的登入檔案，以後每當其開啟OICQ時木馬程式就會同步執行 ，相較一般特洛伊木馬可說是“踏雪無痕”。更要命的是，此類入侵者大多也是特洛伊木馬編寫者，只要稍加改動，就會派生出一支新木馬來，所以即使殺是毒軟體也拿它沒有絲毫辦法。