撕碎木馬偽裝的畫皮

前段時(shí)間，有一部根據(jù)小說《聊齋》改編的電影《畫皮》，在各大電影院熱映?？催^電影以后讓我有很多聯(lián)想，比如現(xiàn)在網(wǎng)絡(luò)中層出不窮的病毒木馬，它們?yōu)榱诉M(jìn)入系統(tǒng)“興風(fēng)作浪”，也常常身披各種各樣的“畫皮”來蒙蔽用戶。那么木馬會(huì)采用哪些“畫皮”來進(jìn)行偽裝，各位又應(yīng)該如何識(shí)破這些美麗的“畫皮”呢?

圖標(biāo)偽裝畫皮

在Windows操作系統(tǒng)里面，不同的文件類型都有其對(duì)應(yīng)的文件圖標(biāo)，通過這些圖標(biāo)用戶就可以判斷出文件的類型。而黑客正是利用了這一特點(diǎn)，將木馬程序的圖標(biāo)替換成一些常見的文件圖標(biāo)。用戶運(yùn)行了這些偽裝的木馬程序后，就會(huì)被黑客成功的遠(yuǎn)程控制。

畫皮分析：以一個(gè)木馬程序?yàn)槔葹樗由蟼€(gè)Word的圖標(biāo)(見圖1)，不知道的人雙擊后，還以為打開的是Word資料，但其實(shí)打開的是EXE木馬程序。

粉碎方法：黑客對(duì)木馬進(jìn)行了特殊處理。最好的方法就是看圖標(biāo)是什么程序，例如圖標(biāo)是Word，那就先打開Word程序，再在Word程序里打開該文件。如果word不能打開，就說明是木馬了。

后綴偽裝畫皮

由于網(wǎng)絡(luò)中的資源浩如煙海，要讓各位用戶搜索到偽裝的文件，就必須在文件的名稱上下功夫。因此，取一個(gè)吸引入眼球的亮麗名稱就是一種簡(jiǎn)單易行的偽裝畫皮。比如最近周杰倫推出了他的最新專輯，這樣黑客就可以將木馬名詞偽裝成“稻香.Mp3”這類。對(duì)于周杰倫的粉絲來說，定會(huì)下載后毫不猶豫地馬上運(yùn)行，從而掉進(jìn)黑客設(shè)置的陷阱。

畫皮分析：由于木馬程序是一個(gè)可執(zhí)行程序，因此無論木馬如何偽裝自己的名稱，它的擴(kuò)展名都必須是一個(gè)可執(zhí)行文件的擴(kuò)展名，比如EXE、COM、BAT等。因?yàn)閃indows系統(tǒng)默認(rèn)設(shè)置是隱藏文件擴(kuò)展名的，例如木馬的文件名稱偽裝成“中國(guó)古代txt.exe”，但是由于擴(kuò)展名“.exe”被隱藏，所以最終木馬的文件名稱會(huì)顯示為“中國(guó)古代.txt”。

粉碎方法：現(xiàn)在大家只需要換一種激活方法，比如根據(jù)對(duì)文件類型的判斷，首先打開運(yùn)行這類文件的應(yīng)用軟件，然后通過工具欄中的“打開”命令，在彈出的對(duì)話框中選擇這個(gè)文件。如果打開這個(gè)文件后出現(xiàn)亂碼，那么就說明這個(gè)文件有問題(見圖2)。其實(shí)，很多時(shí)候在彈出的對(duì)話框中，根本看不見需要運(yùn)行的那個(gè)文件。因?yàn)閺棾鰧?duì)話框的“文件類型”會(huì)過慮掉非程序關(guān)聯(lián)的文件，這時(shí)就可以肯定這個(gè)文件是偽裝的。

如果要看程序的后綴名，打開系統(tǒng)的資源管理器，點(diǎn)擊“工具”菜單中的“文件夾選擇”命令。然后在彈出的“文件夾選擇”窗口，去掉“隱藏已知文件類型的擴(kuò)展名”復(fù)選框中的鈞即可。

網(wǎng)頁(yè)偽裝畫皮

隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)已經(jīng)成為知識(shí)獲取的主要途徑，與此同時(shí)也成為木馬傳播的主要途徑。網(wǎng)頁(yè)木馬是隱蔽性最強(qiáng)的一種偽裝方式，因?yàn)槟抉R的載體就是平時(shí)最常見的網(wǎng)頁(yè)信息。這樣就使得很多看似“正常的”網(wǎng)頁(yè)，背后可能就隱藏著不為人知的陷阱。

畫皮分析：網(wǎng)頁(yè)木馬并非全新的木馬類型，而是目前流行的一種木馬偽裝及傳播方法。黑客首先將木馬轉(zhuǎn)化為網(wǎng)頁(yè)可以識(shí)別的腳本文件、ActiveX組件、圖片文件等文件形式，然后利用微軟的Windows系統(tǒng)和應(yīng)用軟件存在的某些漏洞來傳播。在用戶訪問網(wǎng)頁(yè)木馬后，網(wǎng)頁(yè)木馬首先會(huì)判斷系統(tǒng)是否存在指定的安全漏洞，如果存在就激活該漏洞并下載木馬程序在后臺(tái)運(yùn)行。

粉碎方法：由于網(wǎng)頁(yè)木馬都是利用系統(tǒng)以及應(yīng)用軟件的漏洞來進(jìn)行傳播的，因此用戶首先需要在漏洞出現(xiàn)以后，在第一時(shí)間里安裝安全補(bǔ)丁來修復(fù)這些漏洞。另外還需要安裝網(wǎng)頁(yè)木馬攔截器，金山清理專家、瑞星卡卡、360安全衛(wèi)士等都包括該功能(如圖3)。這樣以后遇到網(wǎng)頁(yè)木馬的時(shí)候，攔截器功能就會(huì)及時(shí)進(jìn)行攔截并彈出提示窗口。