什么是特洛伊木马病毒?
特洛伊木马病毒是一种恶意软件,可以下载到伪装成合法程序的计算机上。在交付方法中,攻击者通常使用社会工程来隐藏合法软件中的恶意代码,以尝试通过其软件获得用户的系统访问权限。
回答“什么是特洛伊木马”这个问题的一种简单方法是,它是一种恶意软件,通常作为附件隐藏在电子邮件或免费下载文件中,然后传输到用户的设备上。下载后,恶意代码将执行攻击者设计的任务,例如获得对公司系统的后门访问权限,监视用户的在线活动或窃取敏感数据。
特洛伊木马在设备上处于活动状态的迹象包括异常活动,例如计算机设置被意外更改。
特洛伊木马的历史
特洛伊木马的原始故事可以在维吉尔的《埃涅阿斯纪》和荷马的《奥德赛》中找到。在故事中,特洛伊城的敌人能够使用他们假装是礼物的马进入城门。士兵们躲在巨大的木马里面,一旦进去,他们就爬出来,让其他士兵进来。
这个故事的几个元素使术语“特洛伊木马”成为这些类型的网络攻击的适当名称:
- 特洛伊木马是目标防御的独特解决方案。在最初的故事中,袭击者已经围攻了这座城市10年,并没有成功击败它。特洛伊木马为他们提供了十年来一直想要的访问权限。同样,特洛伊木马病毒可能是支持一组严格防御的好方法。
- 特洛伊木马似乎是一份合法的礼物。同样,特洛伊木马病毒看起来像合法软件。
- 特洛伊木马中的士兵控制着城市的防御系统。使用特洛伊木马病毒,恶意软件会控制您的计算机,使其容易受到其他“入侵者”的攻击。
特洛伊木马如何工作?
与计算机病毒不同,特洛伊木马不能自行显现,因此它需要用户下载应用程序的服务器端才能正常工作。这意味着应该实现可执行(.exe)文件,并为特洛伊木马安装程序以攻击设备的系统。
特洛伊木马病毒通过附加到电子邮件的合法电子邮件和文件传播,这些文件被垃圾邮件发送到尽可能多的人的收件箱。打开电子邮件并下载恶意附件后,每次打开受感染的设备时,特洛伊木马服务器都会安装并自动运行。
设备也可能通过社会工程策略被特洛伊木马感染,网络犯罪分子利用这些策略来强迫用户下载恶意应用程序。恶意文件可能隐藏在横幅广告、弹出式广告或网站上的链接中。
受特洛伊木马恶意软件感染的计算机也可以将其传播到其他计算机。网络犯罪分子将设备变成僵尸计算机,这意味着他们可以在用户不知情的情况下远程控制它。然后,黑客可以使用僵尸计算机继续在设备网络(称为僵尸网络)中共享恶意软件。
例如,用户可能会收到来自他们认识的人的电子邮件,其中包括一个看起来也是合法的附件。但是,附件包含在其设备上执行并安装特洛伊木马的恶意代码。用户通常不会知道发生了什么不幸的事情,因为他们的计算机可以继续正常工作,没有感染的迹象。
恶意软件将驻留而不被发现,直到用户采取某种操作,例如访问某个网站或银行应用程序。这将激活恶意代码,特洛伊木马将执行黑客所需的操作。根据特洛伊木马的类型及其创建方式,恶意软件可能会自行删除、恢复休眠状态或在设备上保持活动状态。
特洛伊木马还可以使用一系列移动恶意软件攻击和感染智能手机和平板电脑。这可能是通过攻击者将流量重定向到连接到Wi-Fi网络的设备,然后使用它来发起网络攻击来实现的。
最常见的木马恶意软件类型
网络犯罪分子使用许多类型的特洛伊木马病毒来执行不同的操作和不同的攻击方法。最常用的特洛伊木马类型包括:
- 后门特洛伊木马:后门特洛伊木马使攻击者能够远程访问计算机并使用后门控制计算机。这使恶意执行组件能够在设备上执行他们想要的任何操作,例如删除文件,重新启动计算机,窃取数据或上传恶意软件。后门特洛伊木马经常用于通过僵尸计算机网络创建僵尸网络。
- 银行家木马:银行家木马旨在针对用户的银行帐户和财务信息。它试图窃取信用卡和借记卡,电子支付系统和在线银行系统的帐户数据。
- 分布式拒绝服务 (DDoS) 特洛伊木马:这些特洛伊木马程序执行的攻击会使网络流量过载。它将从一台计算机或一组计算机发送多个请求,以淹没目标 Web 地址并导致拒绝服务。
- 下载器特洛伊木马:下载程序特洛伊木马以已被恶意软件感染的计算机为目标,然后下载并安装更多恶意程序。这可能是其他特洛伊木马或其他类型的恶意软件,如广告软件。
- 利用特洛伊木马:利用恶意软件程序包含利用应用程序或计算机系统中特定漏洞的代码或数据。网络犯罪分子将通过网络钓鱼攻击等方法以用户为目标,然后使用程序中的代码来利用已知的漏洞。
- 假冒防病毒木马:假冒防病毒木马模拟合法杀毒软件的动作。该特洛伊木马旨在检测并删除威胁,如常规防病毒程序,然后向用户勒索金钱以删除可能不存在的威胁。
- 游戏窃贼木马:游戏窃贼木马专门用于从玩在线游戏的人那里窃取用户帐户信息。
- 即时消息(IM)木马:这种类型的木马以IM服务为目标,窃取用户的登录名和密码。它针对流行的消息传递平台,如AOL Instant Messenger,ICQ,MSN Messenger,Skype和Yahoo Pager。
- Infostealer木马:此恶意软件可用于安装特洛伊木马或阻止用户检测到恶意程序的存在。信息窃取者特洛伊木马的组件可能会使防病毒系统难以在扫描中发现它们。
- 邮件查找器特洛伊木马:邮件查找器特洛伊木马旨在收集和窃取存储在计算机上的电子邮件地址。
- Ransom Trojan:Ransom Trojans旨在损害计算机的性能或阻止设备上的数据,以便用户无法再访问或使用它。然后,攻击者将持有用户或组织的赎金,直到他们支付赎金以撤消设备损坏或解锁受影响的数据。
- 远程访问木马:与后门特洛伊木马类似,这种恶意软件使攻击者能够完全控制用户的计算机。网络犯罪分子通过远程网络连接保持对设备的访问,他们使用远程网络连接来窃取信息或监视用户。
- Rootkit 特洛伊木马:Rootkit 是一种隐藏在用户计算机上的恶意软件。其目的是阻止检测到恶意程序,从而使恶意软件能够在受感染的计算机上保持活动状态更长时间。
- 短信服务(SMS)特洛伊木马:SMS特洛伊木马会感染移动设备,能够发送和拦截短信。这包括向高级电话号码发送消息,这会增加用户电话费的成本。
- 间谍木马:间谍木马旨在坐在用户的计算机上并监视他们的活动。这包括记录他们的键盘操作,截取屏幕截图,访问他们使用的应用程序以及跟踪登录数据。
- Sunburst: SUNBURST 特洛伊木马病毒被发布在众多 SolarWinds 猎户座平台上.受害者被一个名为SolarWinds.Orion.Core.BusinessLayer.dll的合法SolarWinds数字签名文件的特洛伊木马版本所破坏。特洛伊木马文件是后门。一旦进入目标计算机,它将在两周内保持休眠状态,然后检索允许它传输,执行,执行侦察,重新启动和停止系统服务的命令。通过 http 与预定的 URI 进行通信。
如何识别特洛伊木马病毒
特洛伊木马病毒通常会在设备上保留数月,而用户并不知道其计算机已被感染。但是,特洛伊木马存在的明显迹象包括计算机设置突然更改,计算机性能下降或发生异常活动。识别特洛伊木马的最佳方法是使用特洛伊木马扫描程序或恶意软件删除软件搜索设备。
如何保护自己免受特洛伊木马病毒的侵害
特洛伊木马病毒通常会在设备上保留数月,而用户并不知道其计算机已被感染。但是,特洛伊木马存在的明显迹象包括计算机设置突然更改,计算机性能下降或发生异常活动。识别特洛伊木马的最佳方法是使用特洛伊木马扫描程序或恶意软件删除软件搜索设备。
特洛伊木马病毒攻击的示例
特洛伊木马攻击通过感染计算机和窃取用户数据造成重大损害。特洛伊木马的常见示例包括:
- 拉赫尼木马: Rakhni特洛伊木马提供勒索软件或加密劫持者工具-使攻击者能够使用设备来挖掘加密货币-以感染设备。
- 小小银行家: Tiny Banker使黑客能够窃取用户的财务详细信息。它是在感染至少20家美国银行时发现的。
- 宙斯或Zbot:Zeus是一个针对金融服务的工具包,使黑客能够构建自己的特洛伊木马恶意软件。源代码使用表单抓取和击键记录等技术来窃取用户凭据和财务详细信息。