特洛伊木马一旦潜入计算机,它就能释放出各种不同的有效负载,很像计算机病毒。攻击是多种多样的,有的无害,有的则破坏性很大,包括:
● 显示辱骂或讨厌的消息
● 删除数据
● 盗取信息,如密码
● 把病毒或另一个木马植入计算机
● 允许远程访问计算机
为了帮助特洛伊木马躲避检测,许多黑客简单地更改木马文件名。虽然这一招瞒不过反病毒程序或木马检测程序,但只是简单的变个名字就常常足以诱骗失察的用户运行木马程序了。6.2.1 玩笑木马程序
玩笑木马程序不造成损坏,但会从计算机的扬声器中发出惹人讨厌的声音,让计算机屏幕看起来七扭八歪,或在屏幕上显示吓人的信息,如“现在正在格式化硬盘!”虽然这类木马程序非常气人,让人厌烦,但它们是无害的,很容易删除。
1. NVP木马程序
NVP木马程序是一个苹果机木马程序,它修改系统文件,让用户在输入文本时无法显示元音字母(a、e、i、o和u)。为诱使用户运行这个特洛伊木马,NVP木马乔装成一个能对计算机屏幕的外观进行定制的实用程序。
2. IconDance木马程序
IconDance木马程序把所有应用程序的窗口最小化,然后迅速搅乱所有的桌面图标。不过它只是把桌面图标搅乱,让您花时间重新组织Windows桌面而已。
6.2.2 破坏性的木马程序
破坏性的木马程序或者删除整个硬盘的数据,或者有选择地删除或修改特定的文件。虽然这些特洛伊木马是最危险的,但其天生本性却限制了它们的传播:在攻击计算机的过程中,它们常常会因为在屏幕上显示污辱性的文字而暴露自己。而且,如果它们格式化您的硬盘,会把自己也删掉。
计算机受到破坏性的木马攻击的惟一警告可能是硬盘灯不断闪烁或硬盘发出吱吱嘎嘎的声音。等您注意到这个可疑的声音时,可能硬盘上至少已有几个文件被删除了。
1. Feliz木马程序
当Feliz木马程序运行时,它会显示如图6-1所示的图像。如果受害人单击Exit按钮,会出现一系列的消息框,警告用户不要运行程序。最后,程序显示一条“祝用户新年快乐”的消息。
图6-1 Feliz木马程序显示一幅气势汹汹的图像,警告用户不要运行程序
在木马程序显示消息框的同时,它会删除核心的Windows文件,使计算机无法重启。
2. AOL4FREE木马程序
1995年耶鲁的一个学生Nicholas Ryan写了一个叫作AOL4FREE的程序,能让用户不用掏订阅费就可以访问AOL。在AOL4FREE程序的消息曝光后,立即有人编造了一个骗局,警告说AOL4FREE程序实际上是一个特洛伊木马:
Anyone who receives this [warning] must send it to as many people as you can. It is essential that this problem be reconciled as soon as possible. A few hours ago, someone opened an Email that had the subject heading of "AOL4FREE.COM". Within seconds of opening it, a window appeared and began to display all his files that were being deleted. He immediately shut down his computer, but it was too late. This virus wiped him out.
不可避免地,有人趁机写了一个特洛伊木马程序,就叫作AOL4FREE,并于1997年3月开始通过电子邮件把它分发给AOL用户。邮件的附件是一个名为AOL4FREE.COM的存档文件,声称能提供最初的那个允许免费访问AOL的AOL4FREE程序。
这个木马程序一旦执行就删除硬盘上的所有文件,然后显示“Bad Command or file name”及一条淫秽的消息。
6.2.3 盗取密码和其他敏感信息的木马程序
特洛伊木马最常见的用途之一是盗取密码。黑客经常编写自定义的特洛伊木马以获得计算机的未经授权的访问。例如,如果学校的一台计算机要求用户在使用前输入密码,黑客就可以安装一个形似登录屏幕的程序,要求用户输入密码。
当丝毫未起疑心的用户输入密码时,木马程序就把密码存起来,并显示一个“计算机停机”的消息,让用户离开,或去登录另一台计算机。然后黑客检索刚才保存的密码,用它们来访问其他人的账户。
如果黑客无法物理地访问目标计算机,有时就把特洛伊木马伪装成游戏或实用程序,诱使受害人加载。木马程序一旦加载,就能盗取硬盘上的文件,然后把文件传回给黑客。因为您甚至都没有意识到计算机中有个木马程序,所以在每次使用计算机时,它都能盗取计算机中的信息。
某人一旦窃取了您的密码或其他重要信息(如信用卡号码),您猜会怎么样?这个窃贼现在就可以访问您的账户,伪装成您的身份,骚扰其他在线的人,或用您的信用卡号码大肆挥霍。
1. Hey You! AOL木马程序
Hey You! AOL木马程序经常伴随一个不请自到的电子邮件,邮件的主题中有“hey you”的字样,正文是:
hey i finally got my pics scanned..theres like 5 or 6 of them..so just
download it and unzip it..and for you people who dont know how to then
scroll down.. tell me what you think of my pics ok?
if you dont know how to unzip then follow these steps
When you sign off, AOL will automatically unzip the file, unless you have
turned this feature off in your download preferences.
If you want to do it manually then
On the My Files menu on the AOL toolbar, click Download Manager.
In the Download Manager window, click Show Files Downloaded.
Select my file and click Decompress.
如果受害人下载并运行所附的文件,特洛伊木马就会隐身于内存,用电子邮件把您的ID和密码发送给等在那头的黑客。有了AOL的ID和密码,任何人都能用您的账户访问AOL,甚至修改您的密码,反倒让您自己被锁定,无法使用自己的账户。
2. ProMail木马程序
在1998年,一个叫Michael Haller的程序员开发了一个名为Phoenix Mail的电子邮件程序。后来,他对维护程序感到厌倦,就把它作为免费软件发布,甚至提供了Delphi语言源代码,好让别人可以修改。遗憾的是,有人拿到Phoenix Mail的源代码后,用它编写了一个特洛伊木马程序,ProMail v1.21。
和Phoenix Mail一样,ProMail也自称是免费的电子邮件程序,有几个免费软件和共享软件站点,包括SimTel.net和Shareware.com,把ProMail作为压缩文件proml121.zip进行发布。
当受害人运行ProMail时,程序要求用户输入有关其Internet账户的一大堆信息,这些信息和您设置电子邮件软件以下载电子邮件时填入的信息类似:
● 用户的电子邮件地址和真实姓名
● 组织
● 电子邮件回复地址
● 回复的真名
● POP3用户名和密码
● POP3服务器名和端口
● SMTP服务器名和端口
一旦用户提供了这些信息,ProMail就加密信息,并把这些信息发送给NetAddress(免费电子邮件提供商,http://www.netaddress.com)上的一个账户(naggamanteh@usa.net)。
由于ProMail允许用户管理多个电子邮件账户,这个特洛伊木马有可能把每个账户的信息发送给等在另一端的黑客,这样黑客就可以对受害人使用的所有电子邮件账户进行完全的访问。
