真相——恶意木马程序欺骗的惯用伎俩

guyou888

真相——恶意木马程序欺骗的惯用伎俩

来自：MACD论坛(bbs.macd.cn) 作者：guyou888 浏览：1972 回复：0

许多伪装的恶意程序从表面看，其就像Windows的一部分程序，以达到欺骗的安全工具的目的。网络攻击者会使用各种方法来绕过你的系统的防御措施。如果病毒、木马程序和其它恶意软件背后的攻击者只会照本宣科，我们将没有什么可以担心的。但是，随着阻止攻击的保护措施越来越高级，网络攻击者积极的采用秘密行动入侵你的PC作为回应。笔者将揭露如今网络攻击者经常采用的五大诡计，这些攻击手法都是以木马程序为基础。

　　不要注意我--我来这里只为入侵你的防线

　　这就像是每一次都派遣不同的侦察兵为以后的入侵者打开大门。“Glieder Trojan”木马程序和许多其它类似的木马程序采用多级感染过程，首先攻击者能够不断的对木马本身进行变形，这样做使得杀毒软件不容易识别它。一旦入侵成功，下载程序就会在下载其他病毒木马之前关闭用户的安全功能。通过下载工具下载的软件可能是一个数据偷窃程序或攻击者可以利用的工具。

　　锁定的和加密的网站?没问题！

　　网站能够并应该使用SSL(安全套接层)加密来保护银行登录账户等敏感的数据(当地址栏出现一个锁头的图标时就表明这个网站正在使用SSL)。但“Gozi Trojan”木马和类似的程序能够通过欺骗使Windows把它们当成系统进程的一部分避开SSL保护措施。这样，用户数据在加密并且发送到网络之前先经过Gozi木马程序。这种木马程序不侦察你的键盘动作(许多安全程序都会留意键盘记录)，而是进入操作系统充当虚假的层服务提供者(LSP)。

　　虚情假意的帮助

　　额外的杀毒扫描肯定是一种好习惯，但当这种扫描清除遇到“SpamThru Trojan”木马程序就不再是一件好事。这种做法是利用盗版的杀毒软件删除其它恶意软件，这样，它就可以把受害者的PC当作自己发送垃圾邮件的工具。如果这台PC有正版的杀毒应用软件，SpamThru木马程序会封锁其更新，防止安全工具识别出新的威胁。

　　同等机会加密

　　加密敏感的数据和使用口令保护数据有助于使这些数据避开间谍的眼睛。但“SpyAgent Trojan”木马程序也进入了加密的游戏中。当安装到使用加密文件系统(Windows 很多版本都有加密文件系统)的计算机中的时候，SpyAgent 木马程序能够为自己建立一个管理员级别的用户账户并且使用这个账户加密自己的文件。你或你的杀毒软件必须要猜测这个账户的随机口令以便解密和扫描这个恶意文件。

　　伪装Windows更新程序，欺骗防火墙

　　防火墙保护计算机和网络以阻止攻击者进出。因此，“Jowspry Trojan”木马程序把自己伪装成已知的和已经获得批准的Windows更新程序。这种恶意软件使用的连接方式就像是微软Windows更新程序使用的后台智能传送服务。不加怀疑的防火墙将允许它向你的计算机下载更多的攻击程序。

　　要实施这些隐秘行动，恶意软件首先必须要进入你的PC。如果你让Windows和其它程序保持最新状态，避免打开不请自来的电子邮件的附件或者上面的链接，使用正版的杀毒软件，就不会给网络犯罪分子使用其木马程序的机会。