[psac]

被感染後的緊急措施

　　如果不幸你的電腦已經被木馬光臨過了，你的系統檔案被黑客改得一塌糊塗，硬碟上稀裡糊塗得多出來一大堆亂七八糟的文件，很多重要的資料也可能被黑客竊取。這裡給你提供3條建議，希望可以說明 你:

　　(1)所有的帳號和密碼都要馬上更改，例如撥號連接，ICQ,mIRC,FTP，你
的個人站點，免費郵信箱等等，凡是需要密碼的地方，你都要把密碼儘快改過來。

　　(2)刪掉所有你硬碟上原來沒有的東西。

　　(4)檢查一次硬碟上是否有病毒存在 。
木馬技術篇

這裡就不介紹木馬是如何寫成的了,畢竟大多數網友不會去編寫什麼木馬,也沒有足夠的知識和能力來編寫,包括我自己



黑客是如何騙取你執行木馬的

1、冒充為圖像文件

　　首先，黑客最常使用騙別人執行木馬的方法，就是將特洛伊木馬說成為圖像文件，比如說是照片等，應該說這是一個最不合邏輯的方法，但卻是最多人中招的方法，有效而又實用 。

　　只要入侵者扮成美眉及更改伺服器程序的檔案名(例如 sam.exe )為「類似」圖像文件的名稱 ，再假裝傳送照片給受害者，受害者就會立刻執行它。為甚麼說這是一個不合邏輯的方法呢？
圖像文件的副檔名根本就不可能是 exe，而木馬程序的副檔名基本上又必定是 exe ，明眼人一看就會知道有問題，多數人在接收時一看見是exe文件，便不會接收了，那有什麼方法呢? 其實方法很簡單，他只要把檔案名改變，例如把「sam.exe」 更改為「sam.jpg」 ，那麼在傳送時，對方只會看見sam.jpg 了，而到達對方電腦時，因為windows 預設值是不顯示副檔名的，所以很多人都不會注意到副檔名這個問題，而恰好你的電腦又是設定為隱藏副檔名的話，那麼你看到的只是sam.jpg 了，受騙也就在所難免了!

還有一個問題就是，木馬本身是沒有圖示的，而在電腦中它會顯示一個windows 預設的圖示，別人一看便會知道了！但入侵者還是有辦法的，這就是給文件換個「馬甲」，即修改文件圖示。

　　修改文件圖示的方法如下:

　　（1）比如到http://www.mydown.com 下載一個名為IconForge 的軟體，再進去行安裝。

　　（2）執行程序，按下File > Open

　　（3）在File Type 選項exe 類

　　（4）在File > Open 中載入預先製作好的圖示( 可以用繪圖軟體或專門製作icon 的軟體製作，也可以在網上找找) 。
　　（5）然後按下File > Save 便可以了。

　　如此這般最後得出的，便是看似jpg 或其他圖片格式的木馬了，很多人就會不經意間執行了它。

2、合併程序欺騙

　　通常有經驗的用戶，是不會將圖像文件和可執行文件混淆的，所以很多入侵者一不做二不休，乾脆將木馬程序說成是應用程式：反正都是以 exe 作為副檔名的。


然後再變著花樣欺騙受害者，例如說成是新出爐的遊戲，無所不能的黑客程序等等，目地是讓受害者立刻執行它。


而木馬程序執行後一般是沒有任何反應的，於是在悄無聲息中，很多受害者便以為是傳送時文件損壞了而不再理會它。

　　如果有更小心的用戶，上面的方法有可能會使他們的產生壞疑，所以就衍生了一些合拼程序。合拼程序是可以將兩個或以上的可執行文件(exe文件) 結合為一個文件，以後祇需執行這個合拼文件，兩個可執行文件就會同時執行。



如果入侵者將一個正常的可執行文件(一些小遊戲如 wrap.exe) 和一個木馬程序合拼，由於執行合拼文件時 wrap.exe會正常執行，受害者在不知情中，背地裡木馬程序也同時執行了。


而這其中最常用到的軟體就是joiner，由於它具有更大的欺騙性，使得安裝特洛伊木馬的一舉一動了無痕跡，是一件相當危險的黑客工具。讓我們來看一下它是如何運作的:

以往有不少可以把兩個程序合拼的軟體為黑客所使用，但其中大多都已被各大防毒軟體列作病毒了，而且它們有兩個突出的問題存在，這問題就是：

　　（1）合拼後的文件體積過大
　　（2）只能合拼兩個執行文件

　　正因為如此，黑客們紛紛棄之轉而使用一個更簡單而功能更強的軟體，那就是Joiner 了。

此軟體不但把軟體合拼後的體積減少，而且可以待使用者執行後立刻就能收到一個icq 的訊息，告訴你對方已中招及對方的IP ，更重要的是這個軟體可以把圖像文件、音瀕文件與可執行文件合拼，用起來相當方便。

　　首先把Joiner 解壓，然後執行Joiner ，在程序的畫面裡，有「First executable : 」及「 Second File : 」兩項，這兩行的右方都有一個資料夾圖示，分別各自選項想合拼的文件。

　　下面還有一個Enable ICQ notification 的空格，如果選取後，當對方執行了文件時，便會收到對方的一個ICQ Web Messgaer ，裡面會有對方的ip ，當然要在下面的ICQ number 填上欲收取訊息的icq 號碼。但開啟這個功能後，合拼後的文件會比較大。

　　最後便按下「Join」 ，在Joiner 的資料夾裡，便會出現一個Result.exe 的文件，文件可更改名稱，因而這種「混合體」的隱蔽性是不言而喻的。

3、以Z-file 偽裝加密程序

　　Z-file 偽裝加密檔案是台灣華順科技的產品，其經過將文件壓縮加密之後，再以 bmp圖像文件格式顯示出來(副檔名是 bmp，執行後是一幅普通的圖像)。

當初設計這個軟體的本意只是用來加密資料，用以就算電腦被入侵或被非法使使用時，也不容易洩漏你的機密資料所在。不過如果到了黑客手中，卻可以變成一個入侵他人的幫兇。


使用者會將木馬程序和小遊戲合拼，再用 Z-file 加密及將 此「混合體」發給受害者，由於看上去是圖像文件，受害者往往都不以為然，開啟後又只是一般的圖片，最可怕的地方還在於就連殺毒軟體也檢測不出它內藏特洛伊木馬，甚至病毒！當打消了受害者警惕性後，再讓他用WinZip 解壓縮及執行 「偽裝體 (比方說還有一份小禮物要送給他)，這樣就可以成功地安裝了木馬程序。


如果入侵者有機會能使用受害者的電腦(比如上門維修電腦)，只要事先已經發出了「混合體，則可以直接用 Winzip 對其進行解壓及安裝。



由於上門維修是赤著手使用其電腦，受害者根本不會懷疑有什麼植入他的電腦中，而且時間並不長，30秒時間已經足夠。就算是「明晃晃」地在受害者面前操作，他也不見得會看出這一雙黑手正在幹什麼。特別值得一提的是，由於 「混合體」 可以躲過反病毒程序的檢測，如果其中內含的是一觸即發的病毒，那麼一經結開壓縮，後果將是不堪設想。

4、偽裝成應用程式增強元件

　　此類屬於最難識別的特洛伊木馬。黑客們通常將木馬程序寫成為任何檔案類型的文件 (例如 dll、ocx等) 然後掛在一個十分出名的軟體中，例如 OICQ 。由於OICQ本身已有一定的知名度，沒有人會懷疑它的安全性，更不會有人檢查它的文件多是否多了。而當受害者開啟OICQ時，這個有問題的文件即會同時執行。



此種方式相比起用合拼程序有一個更大的好處，那就是不用更改被入侵者的登入文件，以後每當其開啟OICQ時木馬程序就會同步執行 ，相較一般特洛伊木馬可說是「踏雪無痕」。更要命的是，此類入侵者大多也是特洛伊木馬編寫者，只要稍加改動，就會派生出一支新木馬來，所以即使殺是毒軟體也拿它沒有絲毫辦法。