1539人阅读
&&&&& 木马病毒，是病毒的特殊形式，它与一般病毒的区别是它不仅停留在本机电脑里，更利用一些手段开放电脑端口获得与木马服务器的通信，达到获取用户信息的目的。
&&&& 一个木马程序通常很小，它典型的工作方式是通过一些手段下载到用户电脑里，然后获得启动。启动后的木马进入活动状态。活动状态的木马就可以进行破坏性的操作了。
&&&& 下载方式：
（1） 网页挂马；
（2）文件捆绑；
（3）利用系统或软件漏洞；
&&&& 启动方式：
需要手动的启动方式：
（1）修改文件图标，比如把exe格式的文件图标换成记事本，诱惑用户点击；
（2）和捆绑文件一起启动；
（3）修改启动关联，比如修改注册表后每次打开txt文本时就能启动木马程序；
其它的自启动方式：
（4）把木马释放到WIN程序启动项里；
（5）修改注册表启动项；
（6）config.sys等方式；
&&&& 破坏性操作：
（1）销毁自身（为了免除后患，是自我保护的手段）；
（2）打开电脑端口，电脑被远程控制；
（3）信息泄露；
（4）为了驻留客户端电脑所作的其它感染或复制操作。
对于一般的电脑使用者来说，当然安装好的杀毒软件就可以解决大部分的问题，不过杀软通常对新木马不很有效。如果之前你已经了解了木马的工作原理和驻留方式，会更有助于你保护自己的电脑哦~！！
推荐一下公司的软件，五分钟查出新木马！
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：8312次
排名：千里之外vvv病毒真相 | WooYun知识库
vvv病毒真相
360互联网安全中心监控到，已经沉寂一段时间的CryptoLocker（文档加密敲诈者）类木马，本月初在国内又开始传播感染。本次传播的木马是之前CTB-Locker木马的一个变种，在加密文档之后，会在文档文件名之后加入“.vvv”，该病毒也因此被称为VVV病毒。
经分析，该木马的核心加密功能，是根据臭名昭著的TeslaCrypt（特斯拉加密者，与那个电动汽车厂商没有任何关系）的最新版本改写而来。TeslaCrypt从今年2月份正式“出道”以来，已经经过了8个版本的迭代。其中前4个版本加密后的文档都可以通过工具恢复，但从第5版开始则无法再恢复。且其第5版和第7版都曾在国内有过不同规模的爆发。
此次病毒事件主要的传播地区在日本，twitter上搜索“vvvウイルス”已经闹翻了天了：
而我国出现该病毒完全属于“躺枪”。之所以说是“躺枪”，其实看下对方的勒索要求就很明显了。对方给出了四个所谓的“私人页面（PersonalPages）”要求你去访问并获取交易信息。但实际上这四个网站的域名分别为：
hsh73cu37n1.net
这其中，只有最后一个onion.to可以访问，但这是一个“TorHiddenServicesGateway”，也就是说这是一个用洋葱路由的方式专门用来隐藏背后真实服务商的网站，并且还需要你安装一个所谓的“TorBrowser”进入洋葱网络才能正常浏览，于是：
几个小时过去了……然后就没有然后了……也就是说即便我想要老老实实的交付赎赎金，也是一个不可能完成的任务。
不只是不能访问的页面，根据我们的监控数据看，也印证了该木马并非针对中国而来——刚刚进入12月的时候木马感染量有过一次小规模的上涨，而最近几天的传播量更是创了一个新高。但即便如此每天的木马活跃了也没有超过100个，所以说总体而言该木马在我国并没有真正意义上的“爆发”起来。
而国内中招用户大部分也是通过比较传统的途径感染的木马——电子邮件：
邮件声称你有一笔未偿欠款，如果逾期不还的话，会产生7%的利息。而附件中所谓的“单据副本”其实就是这个木马。多么典型的诈骗内容——“您有欠款”、“您欠电话费了”、“您有未接收的快递”、“您有法院传票”……看来用这样的说辞并非国人的专利。但全篇的英语又有几个人会去仔细看完然后点开附件呢？这也就是在国内传播量很小的主要原因。
而实际上，该木马在国外的传播途径不仅仅是邮件传播，也包括一部分通过网页挂马（以去年最后的CVE-和今年出镜率最高的CVE-这两个漏洞的利用为主）来实现的木马传播，但由于经常访问的网站有很大不同，所以在国内因为网页挂马导致感染该木马的情况并不多见。
0x02 样本分析
样本最开始的来源是一个伪装成发票单的js脚本
咋看内容是一堆乱码：
对其格式稍加调整之后，可以发现，其实就是一些字符的混淆，最后通过eval函数执行。
直接将其eval的内容log输出，就能看到真正执行的代码了，功能比较简单，只是一个木马下载器
样本本身带有一个简单的保护壳，启动后，会检测自身路径，如果不在%appdata%下，会将自身拷贝过去，并再次启动，之后删除之前的木马文件，达到隐藏自身的目的。
木马在%appdata%下执行之后，会再次启动自身，解密隐藏的代码，注入到启动的这个子进程中：
木马使用这种方法，试图绕过传统特征码定位引擎的查杀，解码出来的程序是真正的木马工作部分：
木马的整体流程控制上，和之前的ctb-locker比较相似：
由于这个模块是通过注入方式执行的，启动后会通过GetProcAddress找到找到所需的系统API：
木马在感染之前，会先将自身写入启动项，保证下次开机仍能够启动！
木马中配置等各类地址，都经过了重新编码，用来对抗分析：
解码出的内容包括木马控制服务器，密钥交换时提及的信息结构：
ASCII "Sub=%s&key=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&gate=%s&ip=%s&inst_id=%X%X%X%X%X%X%X%X"
ASCII "http://crown.essaudio.pl/media/misc.php"
ASCII "/media/misc.php"
ASCII "/media/misc.php"
ASCII "/media/misc.php"
密钥生成方式和之前的CTB-Locker一致，都是通过ECDH生成，如果没有服务器上的私鈅目前无法获取到加密密钥。
文件加密过程中，会排除掉带有.vvv扩展名的文件和带有recove的文件：
加密如下190种类型的文件：
|.r3d|.ptx|.pef|.srw|.x3f|.der|.cer|.crt|.pem|.odt|.ods|.odp|.odm
|.odc|.odb|.doc|.docx|.kdc|.mef|.mrwref|.nrw|.orf|.raw|.rwl|.rw2
|.mdf|.dbf|.psd|.pdd|.pdf|.eps|.jpg|.jpe|.dng|.3fr|.arw|.srf|.sr2
|.bay|.crw|.cr2|.dcr|.ai|.indd|.cdr|.erf|.bar|.hkx|.raf|.rofl|.dba
|.db0|.kdb|.mpqge|.vfs0|.mcmeta|.m2|.lrf|.vpp_pc|.ff|.cfr|.snx
|.lvl|.arch00|.ntl|.fsh|.itdb|.itl|.mddata|.sidd|.sidn|.bkf|.qic
|.bkp|.bc7|.bc6|.pkpass|.tax|.gdb|.qdf|.t12|.t13|.ibank|.sum|.sie
|.zip|.w3x|.rim|.psk|.tor|.vpk|.iwd|.kf|.mlx|.fpk|.dazip|.vtf
|.vcf|.esm|.blob|.dmp|.layout|.menu|.ncf|.sid|.sis|.ztmp|.vdf|.mov
|.fos|.sb|.itm|.wmo|.itm|.map|.wmo|.sb|.svg|.cas|.gho|.syncdb
|.mdbackup|.hkdb|.hplg|.hvpl|.icxs|.docm|.wps|.xls|.xlsx|.xlsm
|.xlsb|.xlk|.ppt|.pptx|.pptm|.mdb|.accdb|.pst|.dwg|.xf|.dxg|.wpd
|.rtf|.wb2|.pfx|.p12|.p7b|.p7c|.txt|.jpeg|.png|.rb|.css|.js|.flv
|.m3u|.py|.desc|.xxx|.wotreplay|wallet|.big|.pak|.rgss3a|.epk|.bik
|.slm|.lbf|.sav|.re4|.apk|.bsa|.ltx|.forge|.asset|.litemod|.iwi
|.das|.upk|.d3dbsp|.csv|.wmv|.avi|.wma|.m4a|.rar|.7z|.mp4|.sql|
在对文件加密完成之后，会对加密好的文件进行重命名，加入vvv扩展名：
和其它木马判断完整进程名不同，这个木马会判断系统是否运行有程序，带有askmg,rocex,egedi,sconfi,cmd这些关键词的程序，如果带有，就结束这些程序，实际上对应的是procexp.exe，taskmgr.exe之类的辅助分析工具等。
加密完成后，会在被加密文件夹下生成：
最后敲诈者展示这个勒索页面：
由于一旦中招，机器中的所有资料全会被加密，并且完全无法恢复（如上所说，即便你愿意付赎金，也可能无处可付），所以对此类木马的警惕性依然是非常有必要的。用户在使用计算机的过程中，对重要文件，最好进行隔离备份，减小各类应病毒木马攻击，程序异常，硬件故障等造成的文件丢失损失。同时也要养成良好的习惯，不要随意打开陌生邮件的附件。安装具有文档防护功能的安全软件，对于安全软件已经提示风险的程序，不要继续执行。
&乌云知识库版权所有 未经许可 禁止转载
为您推荐了适合您的技术文章:
关于如何破解vvv.病毒，恢复vvv病毒文件，请看这里。//profile?topnav=1&wvr=6&is_all=1#_rnd4
这是目前发现的唯一破解之路。
Tor在国内被墙了，还得先翻墙然后再进Tor...
@bit 并没有卯月
bitlocker 可以防护这样的程序么，
我国的长城！
感谢知乎授权页面模版查投递进度，找主管勾搭
名企校园职位，装进手机！
社会招聘微信
校园招聘微信
英才研究院微信二维码
木马工作室
联系人：胡哥
公司地址：武侯区科华北路60号
以人为本，员工利益放在第一
同行业相似职位
[吉安市 吉州区]
[吉安市 吉州区]
[吉安市 吉州区]
[吉安市 吉州区]
[吉安市 吉州区]
101－300人
[吉安市 吉州区]
[吉安市 吉州区]
[吉安市 吉州区]
[吉安市 吉州区]
[吉安市 吉州区]
101－300人
[吉安市 吉州区]
[吉安市 吉州区]
[吉安市 吉州区]
[吉安市 吉州区]
扫二维码，主管排队等你勾搭
ICP经营许可证编号 京ICP证060405号 京ICP备号-12 京公网安备37号 Copyright (C) 北京五八信息技术有限公司 版权所有木马的工作原理_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
木马的工作原理
上传于||暂无简介
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩6页未读，继续阅读
你可能喜欢您所在的位置： &
特洛伊木马是如何工作的
特洛伊木马是如何工作的
一般的木马程序都包括客户端和服务端两个程序，其申客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。
特洛伊木马是如何工作的一般的木马程序都包括客户端和服务端两个程序，其申客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里，利用的途径有邮件附件、下载软件中等，然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这个木马执行文件，是你朋友送给你贺卡，可能你打开这个文件后，确实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。一般的木马执行文件非常小，大部分都是几K到几十K，如果把木马捆绑到其他正常文件上，你很难发现，所以，有一些网站提供的软件下载往往是捆绑了木马文件的，你执行这些下载的文件，也同时运行了木马。木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入，由于微软的浏览器在执行Senipt脚本存在一些漏洞。攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制。前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面，他可以通过编制CGI程序在攻击主机上执行木马目录。此外，木马还可以利用系统的一些漏洞进行植人，如微软著名的US服务器溢出漏洞，通过一个IISHACK攻击程序即可使IIS服务器崩溃，并且同时攻击服务器，执行远程木马执行文件。当服务端程序在被感染的机器上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被感染的机器。在客户端和服务端通信协议的选择上，绝大多数木马使用的是TCP/IP协议，但是也有一些木马由于特殊的原因，使用UDP协议进行通讯。当服务端在被感染机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现;同时监听某个特定的端口，等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。 (责任编辑：zhaohb)
关于的更多文章
为进一步净化广东省互联网环境，强化企业安全意识，巩固全省互联
虽然网购有诸多优点，越来越多的人热衷于此，但网购的安全性也逐渐凸显
讲师： 129人学习过讲师： 1926人学习过讲师： 1767人学习过
即将于首都网络安全日'期间举办的网络与信息
日消息，一年一度的央视315晚会昨晚播出，
当前，随着互联网经济的蓬勃发展，网络信息安全事件时
《系统分析师考试辅导（2007版）》内容涵盖了最新的系统分析师考试大纲信息系统综合知识的所有知识点，分析了近3年信息系统分析
51CTO旗下网站}