资深黑客带您全面解剖“木马下载者”(1)

【51CTO.com 专家特稿】

Trojan-Downloader.Win32.VB.vz
Trojan-Downloader.Win32.INService.gen
Trojan-Downloader.Win32.Harniq.bb
Trojan-Downloader.Win32.PassAlert.i
Trojan-Downloader.Win32.Agent.td
Trojan-Downloader.Win32.IstBar.nj

上面这些都是我和国内某安全实验室近期收集的病毒统计数据中排名前20的病毒。这些病毒都属于分布最广、危险程度最高的Trojan-Downloader木马，这些病毒很大一部分是为了盗取网络游戏帐号并衍生到网上银行的支付系统中的用户数据等用户敏感信息而设计的。所以造成的危害相当巨大，而在互连网上还有更多此类的木马，并且分布的很广泛。就潜在的经济损失而言，特洛伊木马比邮件蠕虫等更厉害。这种类型的恶意程序总是不停的监控一些风险站点，并下载其他恶意程序和广告程序的最新变种。如果一台计算机感染了Trojan-Downloader，那么往往意味着更多恶意程序的聚会。

2006年7月20日，国内某安全实验室的CERT小组，发出了一个针对近日来多次变种的名为Delf的病毒的病毒预警，这个病毒在运行后，会连接到http://www.*****5.com，下载若干个文件到本地运行并安装，这就属于典型的Trojan-Downloader木马。该CERT对此类病毒进行了初步的比较和分析，总结出其特点、形成、发展趋势以及防御方法。

一 什么是Trojan-Downloader木马？

特洛伊木马(Trojan)病毒，是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件，发送密码，记录键盘和攻击等功能，会使用户系统被破坏甚至瘫痪。恶意的木马程序也具有计算机病毒的特征。

Trojan-Downloader木马，有计划的，试图隐藏的通过文件传输协议，从远程网络中下载恶意程序，与普通木马不同，Downloader类木马运行后，并没有破坏受影响的系统，只有等到能链接远程网络后，它才试图通过文件传输协议访问网站或网页，下载特点恶意程序。

为了实现下载文件的功能，Trojan-Downloader木马，通常包含的信息是关于恶意程序下载和安装的名字和网络位置，这些信息通常储存为一个加密的数据模块，被存放在TrojanDropper文件尾部。这些程序可以被用做安装和下载最新版本的恶意程序，并且在用户不知情的情况下安装木马程序。

Trojan-Downloader木马一般采用加壳的方式，来隐藏其内容，躲避杀软的查杀。通常是做为电子邮件附件来传播。

二 Trojan-Downloader木马，具有哪些特点？

Trojan-Downloader类木马出现的频率相当高，由于很多此类木马只是负责下载其他恶意程序，并不修改系统注册表等信息，自身也不添加任何文件到受感染的系统，属于一次性病毒，所以隐蔽性很强，造成的影响很坏且不易被察觉。

究竟该类木马通过什么方式下载恶意程序到用户电脑？
如何躲避防火墙或者系统监控软件的监视来下载文件呢？
究竟木马作者编写此类木马的最终目的是什么呢？

带着这些问题，该CERT对此类木马进行大量详细分析后，总结出Trojan-Downloader木马共有的一些特点：

1.此类病毒最显著的共同特征。
Trojan-Downloader类木马，最显著的共同特征，就是在运行后，会自动下载其他恶意程序到受影响的系统。

2.此类病毒的形成和发展趋势。
目前常见的Trojan-Downloader类木马，主要使用VC等编程工具编写，近年来，病毒作者，针对该类病毒，引入了VBscript，Javascript等脚本语言来编写，利用某些杀毒软件缺乏对恶意脚本的查杀能力，来达到躲避反病毒软件查杀的目的。

3．Trojan-Downloader病毒的传播方式。
Downloader类木马，主要采用电子邮件附件的方式传播，同时也采用及时聊天工具，网页恶意脚本等方式来传播。

4.Downloader类木马，如何下载恶意程序到用户电脑。
当Trojan-Downloader类木马运行后，会通过各种方式连接到外部网络中，下载木马作者希望下载的其他恶意程序，通常采用以下几种方式：
（1）HTTP服务器
木马所有者创建包含恶意程序的网站，当Downloader类木马运行后，访问该网站，下载新的特洛伊，病毒，蠕虫或其他恶意程序。
（2） FTP服务器
木马所有者搭建一个拥有公网IP地址的FTP服务器，然后在木马程序中指定该服务器地址。一旦木马运行后，就主动链接此服务器，下载恶意程序。
（3）TFTP服务器
类似于FTP服务器，只不过类型不一样，此类服务器上传小文件时，有一定的速度优势。
（4）IRC服务器
病毒会建立共享网络文件夹，通过连接IRC服务器加入频道接受命令进行破坏操作或进行重要信息搜集工作.

5.变化多端，穿墙有术。
在Trojan-Downloader类木马感染的用户电脑上，可能安装有防火墙或者系统监控软件，此时普通的下载方法就无法下载病毒了。Trojan-Downloader类木马，就开始使用各种各样的“穿墙术”了。
（1）针对防火墙应用程序访问规则的穿墙方法。
病毒常采用的“穿墙术”，主要是在病毒启动后释放一个动态链接库文件，然后将这个动态链接库文件插入系统进程或其他正常程序的进程体内运行，而病毒的绝大部分功能全部包括在这个动态链接库中，之后病毒自身的进程退出，这样在系统中就找不到病毒的进程了，但是实际上很多的系统进程内部都已经有病毒模块在运行，防火墙就无法防范了。
比如有的病毒，将自己的DLL部分注入了IE的进程中，并通过IE的漏洞，来达到下载恶意程序的目的。
（2）针对防火墙端口的限制，木马利用端口的隐蔽性来实现下载文件的目的。
每一台计算机都默认有65536个端口，由于占用常用的端口会造成系统异常而引起用户警觉，木马通常将自己隐藏在一些不常用的端口中，一般是1024以上的端口，另外一些木马具有端口修改的功能，这就使的“端口”监视工具失去了作用，有些木马能够做到与正常程序共用端口（如80端口），这样就使的防火墙无法做出拦截。

6.如何达到自启动的目的。
（1）修改注册表；
（2）将木马程序加载到系统文件中；
（3）通过注入系统进程来达到随系统启动的目的。

7.木马不再躲躲藏藏，而是主动攻击杀毒软件。
近年来，随着木马技术的发展，木马作者不再满足于隐藏自身，来躲避杀毒软件查杀的方式，而是开始主动攻击杀毒软件，当病毒运行后，在系统进程中查找国内外著名反病毒软件的进程，并试图终止这些进程，然后将反病毒软件所安装的文件删除。以此来达到免杀的效果。

8.为什么说Downloader木马具有隐蔽性
Downloader木马主要用来在受感染的系统中，下载病毒作者想下载的恶意程序，一旦完成这个操作，Downloader木马就删除自身，这就给病毒样本的获得，带来了很大的难度，而且Downloader木马因为不需要很复杂的结构，所以一般文件都很小，且因为一般不修改系统文件，所以很难察觉，所以说Downloader木马具有很强的隐蔽性。

9.病毒作者为什么要制作和传播Downloader类木马。
近些年来,网络知识传播速度的加快，病毒技术的发展，使的很多技术并不出众的初学者也能编写出病毒，这造成了病毒的编制目的，不再是为了炫耀技术，而是开始变的，以能够获取经济利益为主要目的，而反病毒技术的发展，使的病毒作者开始对病毒进行模块化设计，用多个文件来实现过去一个病毒文件实现的功能，尽量缩小单个病毒文件的大小，减少特征，以此来躲避反病毒软件的查杀。这就促成了Downloader这类主要负责下载其他恶意程序的木马的出现。