1.将特洛伊木马打包为图像文件。
首先,黑客诱骗他人执行木马最常用的方法是调用木马图片文件,比如照片等。应该说这是最不合逻辑的方法,但却是大多数人陷入的方法,而且有效实用。
只要入侵者装扮成女生,把服务器程序(比如sam.exe)的文件名改成‘类似’的图像文件的名字,然后假装给受害者发照片,受害者就会立即执行。为什么这是一个不合逻辑的方法?镜像文件的扩展名根本不能是exe,木马程序的扩展名基本必须是exe。明眼人一看就知道有问题。一般人收到的时候看到是exe文件就不会收到。方法是什么?其实方法很简单。他只需要改变文件名,比如‘Sam . exe’改成‘Sam . jpg’,那么在传输的时候,对方只会看到sam.jpg。到了对方的电脑上,很多人不会注意到扩展问题,因为windows的默认值是不显示扩展的,而如果你的电脑设置了隐藏扩展,那么你看到的都是sam.jpg,难免被骗!
还有一个问题就是木马本身没有图标,但是会在电脑里显示一个windows默认图标,别人一看就知道!但是入侵者还有一个办法,就是改变文件的马甲'也就是用IconForge之类的图标文件修改文件图标,这样木马就会被打包成jpg或者其他图片格式的木马,很多人会在不经意间执行。
2.使用Z-file作为加密程序。
Z-file伪装加密软件对文件进行压缩加密,然后以bmp图像文件格式显示(扩展名为bmp,执行后为普通图像)。这个软件本来就是为了加密数据,这样即使电脑被入侵或者非法使用,也不容易泄露你的机密数据。但如果到了黑客手里,就可以成为入侵他人的帮凶。用户会把木马程序和小游戏合并,然后用Z-file加密,把这个‘混合物’发给受害者。因为它看起来像一个图像文件,受害者往往不同意它。打开之后只是一个大概的图片。最可怕的是,连杀毒软件都检测不出其中的木马和病毒。当受害者的警惕性被打消后,让他解压,用Winzip执行‘伪装’(比如有个小礼物送给他),这样木马程序就能成功安装。如果入侵者有机会使用受害者的电脑(比如家用维修电脑),只要事先把‘混合物’发出去,就可以直接用Winzip解压安装。由于上门维修是徒手使用他的电脑,受害人根本不会怀疑他的电脑里植入了什么东西,时间也不长,30秒就够了。即使他在受害者面前‘光明正大’地操作,也不一定能看到这些黑手在做什么。特别是,由于‘混合体’可以躲避杀毒程序的检测,如果它含有一触即发的病毒,那么一旦被压缩,后果将不堪设想。
3.合并程序欺骗
通常有经验的用户不会把镜像文件和可执行文件混为一谈,所以很多入侵者干脆把木马程序说成是应用程序:反正都是用exe做扩展名。然后,通过变换花样,比如新发布的游戏、无所不能的黑客程序等来欺骗受害者。以便让受害者立即执行。而木马程序执行后一般没有任何反应,所以在沉默中,很多受害者认为文件在传输过程中被破坏,不予理会。
如果有比较细心的用户,上面的方法可能会让他们起疑心,于是衍生出一些合并程序。合并程序可以将两个或多个可执行文件(exe文件)合并成一个文件。一旦将来执行合并文件,这两个可执行文件将同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如wrap.exe)与一个木马程序合并,由于合并后的文件执行时wrap.exe会正常执行,受害者会在不知情的情况下同时执行木马程序。而最常用的软件是joiner,因为它的欺骗性更强,使得安装木马的一举一动都无迹可寻,是一款相当危险的黑客工具。
以前很多能把两个程序结合起来的软件都被黑客使用过,但是大部分都已经被各大杀毒软件列为病毒。而且它们有两个突出的问题,就是合并的文件太大,只能合并两个可执行文件。
正因为如此,黑客们转向了一个更简单更强大的软件,那就是Joiner。这个软件可以合并图像文件,音频文件和可执行文件,并减少合并文件的体积。而且用户执行后,可以立刻收到一条消息,告诉你对方已经招到了对方的IP。大家都要提高警惕。
4.伪装成应用程序扩展组件
这种木马是最难识别的。黑客通常会将木马程序写入任何类型的文件(如dll、ocx等。)然后把它们挂在一个很有名的软件里,这样人们就不会怀疑安装文件的安全性,也不会有人去检查里面是不是有很多文件。当受害者打开软件时,会同时执行有问题的文件。与合并程序相比,这种方式有一个更大的优势,就是不需要修改入侵者的登录文件,以后只要他们打开软件,木马就会同步运行。
当你遇到以上四种情况时,请一定要小心。也许你是无意中被抓到的!