我之前发过一个问题,关于一些木马病毒(它们似乎与 Java 有关),最近的一次扫描发现这些病毒并从我的机器上删除了。
但我不知道这些特洛伊木马是否真的被执行过。
当您将常规可执行文件(例如 notepad.exe)下载到您的机器时,您必须双击该程序才能运行它。
但对于木马来说,导致木马运行的触发机制到底是什么呢?
答案1
触发木马的两种主要方式是:
“木马代码”被插入另一个程序并执行主机程序运行的任务
该木马会替换您计算机上的合法文件,并在“假”程序运行时或“假”程序被另一个程序或进程调用时执行其指定的任务。
特洛伊木马可以潜伏在您的系统中,并且只有发生特定事件(例如上述事件)时才会被触发。
对于客户端/服务器木马,初始客户端(感染您 PC 的部分)将与服务器组件进行联系,通常是通过隐藏的 IRC 请求。发生这种情况时,服务器通常会用其他木马代码替换初始客户端,此时您的 PC 就可以完全被服务器控制。
特洛伊木马可以通过无意中运行一些受感染的服务器端小程序传送到您的电脑,或者可以通过受感染的横幅广告或其他无害的网络组件“投放”到您的电脑上。
答案2
我们通常将成功的攻击分为两个部分,灵感来自军事术语:有效载荷,当在目标上运行时会触发恶意效果(隐藏、将主机变成僵尸等),以及负责执行有效载荷的载体。那么,你是想问存在什么样的攻击载体吗?
从历史意义上讲,木马病毒依赖最终用户作为载体。在网络连接普及之前,它通常意味着你被诱骗直接运行你认为有用的程序或很酷的游戏。
代码还可以通过其他方式在用户的帮助下运行;例如,内容显示库(如 pdf、jpeg 或 flash 渲染器)中存在一些漏洞。如果您安装了易受攻击的程序,它只需尝试显示有毒内容即可。当您的浏览器尝试在您访问的页面中显示 .jpg 时,您可能会受到感染;恶意 .jpg 可能包含无效数据,这将触发显示库中的错误,并最终执行内容。
在这种情况下,即使你没有点击恶意程序,调用易受攻击的库的程序(这里是您的浏览器)也会在不知不觉中执行该恶意程序。
不幸的是,我们无法限制可能的载体数量;每当您的系统自动处理来自不可靠来源的内容时,就存在漏洞被利用的风险。针对这种情况,您最好的选择可能是关注安全更新,并进行纵深防御(例如以受限权限运行日常程序等...)
答案3
同样的事情。通常它看起来像一个游戏或某种精巧的工具,可以激励用户执行它。
答案4
通常,木马会从某些文件插入,甚至插入图片。在本例中,木马专门针对系统显示图片功能的缺陷。