过去的2008年,木马已经成为网络中的最大危害,不仅数量庞大,花样极多,还借鉴了“三十六计”的军事思想,想方设法地隐蔽自己,以便对网银、网游、QQ等具有经济价值的账户实施偷盗。
作为一种电脑程序,木马也需要运行起来才能作恶,很多用户因此借助“任务管理器”判断是否存在木马,但真要把披上“迷彩服”的木马进程找到并不容易,下面介绍木马的三种常用藏身伎俩,帮助非专业用户及时识破真相。
第一是瞒天过海:系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,但如果把字母“l”改成数字“1”,把“i”改成“j”,又或者增减一两个字母,比如iexplorer.exe,利用山寨版的进程名大打障眼法,不加留意的话,一般人恐怕都会被蒙骗过去。
第二是偷梁换柱:比如一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是一定安全呢?其实不然,它很可能便是某种盗号木马,不过是将自己命名为svchost.exe,并且把自身复制到不同于真正的svchost.exe文件所在目录中,而“任务管理器”中所体现的进程名却是一般无异。
第三是借尸还魂:除了上文中的两种方法外,木马还有一招——借尸还魂。所谓的借尸还魂就是采用了进程插入技术,将木马运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被恶意控制了,除非借助专业的进程检测工具,否则要想发现隐藏在其中的木马是很困难的。
对电脑用户来说,如果发现电脑运行缓慢、不断弹出网页等异常现象,必须尽快检查是否已有木马偷偷潜入了电脑中。为了应对木马所使用的上述伎俩,可以仔细检查进程的文件名和路径,通过这两点,一般的木马进程都会露出马脚。此外,利用一些专业工具能方便我们更容易判断进程的“好坏”,比如360安全卫士可以标明所有进程的安全级别,还能够显示每一项进程对应的安装路径和出品公司等详细信息,木马的进程就难以藏匿了。 (王昆)