特洛伊木马病毒
什么是特洛伊木马病毒?
特洛伊木马病毒是一种恶意软件,可伪装成合法程序下载到计算机上。这种传播方式通常是攻击者利用社交工程将恶意代码隐藏在合法软件中,试图用其软件获得用户的系统访问权限。
对于"什么是特洛伊木马"这个问题,一个简单的回答方式是:它是一种恶意软件,通常作为附件隐藏在电子邮件或自由下载文件中,然后传输到用户的设备上。下载后,恶意代码将执行攻击者为其设计的任务,例如获取公司系统的后门访问权限、秘密监视用户的在线活动或窃取敏感数据。
设备上存在活动特洛伊木马的迹象包括计算机设置被意外更改等异常活动。
特洛伊木马的历史
原本的特洛伊木马故事可在维吉尔的《埃涅伊德》和荷马的《奥德赛》中找到。在故事中,特洛伊城的敌人利用作为礼物的木马而混入城门。士兵躲在巨大的木马里,进入城门后,他们爬出木马,放其余士兵入城。
故事的几个要素使得“特洛伊木马”一词成为该类网络攻击的适当名称:
- 特洛伊木马是一种针对目标防御的独特方案。在最初的故事中,攻击者对这特洛伊进行了十年的围攻,却没有成功击败它。特洛伊木马为他们提供了十年来一直想要的机会。同样地,特洛伊木马病毒也可以成为躲避一系列严密防御措施的好方法。
- 特洛伊木马看起来是一个正常的礼物。同样地,特洛伊木马病毒看起来也像是合法的软件。
- 特洛伊木马中的士兵控制了这座城市的防御系统。通过使用特洛伊木马病毒,恶意软件将控制您的计算机,让计算机易受到其他“入侵者”的攻击。
特洛伊木马的工作原理是什么?
与计算机病毒不同, 特洛伊木马 并非自动运行,而是需要用户下载应用程序的服务器端才能工作。这意味着应执行可执行文件 (.exe) 文件并安装程序后,特洛伊木马才会攻击设备的系统。
特洛伊木马病毒通过貌似合法的电子邮件和电子邮件的附件进行传播,攻击者会通过这些垃圾邮件到达尽可能多的用户的收件箱。当打开电子邮件并下载恶意附件时,特洛伊木马服务器会安装,并每次在受感染设备打开时会自动运行。
特洛伊木马也可能会通过社交工程策略感染设备,网络罪犯利用这些策略强迫用户下载恶意应用程序。恶意文件可能隐藏在横幅广告、弹出广告或网站上的链接中。
被特洛伊木马恶意软件感染的计算机也可以将恶意软件传播到其他计算机。网络罪犯将设备变为僵尸电脑,这意味着他们在用户不知情的情况下即可远程控制设备。然后,黑客可以使用僵尸电脑继续在被称为僵尸网络的设备网络中共享恶意软件。
例如,用户可能收到其认识的人发来的电子邮件,其中包含看似合法的附件。但是,附件包含恶意代码,可在其设备上执行和安装特洛伊木马。用户通常不会知道有任何不良事件发生,因为他们的电脑可能继续正常工作,没有感染迹象。
恶意软件将继续保留在设备上而不会被检测到,直到用户采取特定操作,例如访问某个网站或银行应用程序。这将激活恶意代码,随后特洛伊木马将执行黑客设计的操作。根据特洛伊木马的类型和构建方式,恶意软件可能会自行删除、恢复为休眠状态或在设备上保持活动状态。
特洛伊木马还可以使用一串移动恶意软件攻击和感染智能手机和平板电脑。攻击者可以通过将流量重新定向到连接至 Wi-Fi 网络的设备,然后使用该设备启动网络攻击来实现这一目标。
最常见的特洛伊木马恶意软件类型
网络罪犯会使用许多类型的 特洛伊木马病毒 来实施不同的操作和不同的攻击方法。攻击者使用的最常见特洛伊木马类型包括:
- 后门特洛伊木马: 后门特洛伊木马让攻击者能够获得远程访问计算机的权限,并使用后门控制计算机。这使恶意攻击者能够在设备上执行任何操作,例如删除文件、重新启动计算机、窃取数据或上传恶意软件。后门特洛伊木马通常用于通过僵尸电脑网络创建僵尸网络。
- 银行特洛伊木马: 银行特洛伊木马以用户的银行账户和财务信息为目标。它试图窃取信用卡和借记卡、电子支付系统和网上银行系统的账户数据。
- 分布式拒绝服务 (DDoS) 木马: 这些特洛伊木马程序会进行攻击,通过流量让网络过载。它通过从一台计算机或一组计算机发送多个请求,从而压垮目标网址并导致拒绝服务。
- 下载器特洛伊木马: 下载器特洛伊木马会以一台已经受到恶意软件感染的计算机为目标,然后在该计算机上下载并安装更多恶意程序。这些恶意程序可能是更多的特洛伊木马或其他类型的恶意软件,如广告软件。
- 漏洞利用特洛伊木马: 漏洞利用恶意软件程序包含利用应用程序或计算机系统内特定漏洞的代码或数据。网络罪犯通过网络钓鱼攻击等方法对用户展开攻击,然后使用程序中的代码来利用已知的漏洞。
- 伪造反病毒特洛伊木马: 伪造的反病毒特洛伊木马会模拟合法杀毒软件的操作。这种特洛伊木马旨在向常规的反病毒程序一样检测和清除威胁,然后以消除可能并不存在的威胁为理由向用户勒索资金。
- 游戏盗号特洛伊木马: 游戏盗号特洛伊木马旨在窃取网络游戏玩家的账户信息。
- 即时消息 (IM) 木马: 此类特洛伊木马以 IM 服务为目标,窃取用户的登录名和密码。它会以 AOL Instant Messenger、ICQ、MSN Messenger、Skype 和 Yahoo Pager 等热门消息平台为目标。
- 信息盗取特洛伊木马: 此恶意软件可用于安装特洛伊木马或防止用户检测到恶意程序的存在。信息盗取特洛伊木马的组件可能会使反病毒系统难以通过扫描发现它们。
- 邮件搜寻特洛伊木马: 邮件搜寻特洛伊木马旨在获取和窃取存储在计算机上的电子邮件地址。
- 勒索特洛伊木马: 赎金特洛伊木马试图削弱电脑性能或屏蔽设备上的数据,使用户不能再访问或使用。然后,攻击者将勒索用户或组织,直到他们支付了勒索金以解除对设备损坏或解锁受影响的数据。
- 远程访问特洛伊木马: 与后门特洛伊木马类似,这种恶意软件能够让攻击者完全控制用户的计算机。网络罪犯通过远程网络连接来维持对设备的访问,从而窃取信息或对用户进行监视。
- Rootkit 特洛伊木马: Rootkit 是一种隐藏在用户计算机上的恶意软件。其目的是防止计算机检测到恶意程序,从而让恶意软件在受感染的计算机上长时间保持活动。
- 短消息服务 (SMS) 特洛伊木马: SMS 特洛伊木马会感染移动设备,并能够发送和拦截文本消息。这包括将消息发送到价值等级高的电话号码,这会增加用户的电话费。
- 间谍特洛伊木马: 间谍特洛伊木马会停留在用户的电脑上,并对监视用户的活动。这包括记录键盘操作、截屏、访问他们使用的应用程序以及跟踪登录数据。
- Sunburst:Sunburst 特洛伊木马病毒感染了众多 SolarWinds Orion 平台。攻击者通过一个合法的 、经电子签名的特洛伊木马版 SolarWinds 文件对受害者进行攻击,该文件名称为:SolarWinds.Orion.Core.BusinessLayer.dll. 该特洛伊木马版的文件是一个后门程序。到达目标计算机后,它会保持休眠状态两周,然后检索能够让其传输、执行、进行侦察、重新启动和停止系统服务的命令。它通过 http 与预定的 URI 进行通信。
如何识别特洛伊木马病毒
特洛伊木马病毒通常可在设备上停留数月,且用户不知道自己的计算机已被感染。但是,特洛伊木马存在的迹象包括计算机设置的突然改变、计算机性能下降或发生异常活动。识别特洛伊木马的最佳方法是使用特洛伊木马扫描软件或恶意软件清除工具搜索设备。
如何保护自己免受特洛伊木马病毒的影响
特洛伊木马病毒通常可在设备上停留数月,且用户不知道自己的计算机已被感染。但是,特洛伊木马存在的迹象包括计算机设置的突然改变、计算机性能下降或发生异常活动。识别特洛伊木马的最佳方法是使用特洛伊木马扫描软件或恶意软件清除工具搜索设备。
特洛伊木马病毒攻击案例
特洛伊木马攻击感染了很多计算机并窃取了用户数据,从而造成了重大损失。一些有名的特洛伊木马案例包括:
- Rakhni 特洛伊木马: Rakhni 特洛伊木马会传播勒索软件或加密货币挖矿恶意软件 - 让攻击者能够使用他人设备挖掘加密货币 - 以感染设备。
- Tiny Banker: Tiny Banker 让黑客能够窃取用户的详细金融信息。它在感染至少 20 家美国银行后才被发现。
- Zeus 或 Zbot: Zeus 是一个针对金融服务的工具包,它能够让黑客构建自己的特洛伊木马恶意软件。其源代码使用表单抓取和击键记录等技术来窃取用户凭证和财务详细信息。
