国内资深黑客详谈Trojan-PSW盗号木马(2)

Trojan-PSW木马在网络上已经出现了好几年，而且引发的安全事件以及犯罪行为都在不断增加，其破坏不容小觑。

究竟该类木马如何植入用户电脑？
如何在用户电脑中获取到敏感信息呢？
究竟木马作者所感兴趣的敏感信息有哪些？
当获取到信息后，又是如何将信息发送给木马所有者呢？
下面就是总结出的一些Trojan-PSW木马特点：

1.利用“社会工程学”等手段侵入用户电脑

木马相对于蠕虫来说，缺乏主动传播性，木马的所有传播行为都是有人为参与，而不像蠕虫那样不需要人工干预，可以自发地搜索可感染目标。再有木马比较有针对性，通常是种一对一或者一对多的入侵行为，而蠕虫是一种无法预测、不能控制的多对多的入侵。

由于木马的这样特点，使得木马的传播与其他病毒有一定的区别，但大多都利用了一些“社会工程学”的技巧：

（1）利用系统漏洞直接传播
用户电脑本身存在系统漏洞，如操作系统漏洞或者是IE浏览器漏洞等，都可以被不法分子利用，直接将木马程序复制或者下载到用户电脑并进行安装。

（2）利用即时聊天工具诱惑传播
据统计，这种传播方式最为有效，也是木马所有者惯用伎俩，即时聊天工具的普及给了他们传播木马程序的媒介，且利用了人们的好奇、贪小便宜的心理以及对好友不设防的薄弱思想，通过发送一段具有诱惑性内容的消息，附带一个链接，诱使用户点击访问。一旦访问，就会自动将木马程序下载到用户机器并运行起来。

（3）利用网站、论坛欺骗传播
木马程序所有者通常会在一些音乐网站或者知名论坛发布一些虚假消息，如一些小工具、恶意网站地址，欺骗用户说可以获取何种利益，其中就安放了一些木马程序，等待用户下载运行。

（4）利用电子邮件强行传播
木马所有者发送附带木马程序的电子邮件，邮件主题比较吸引人，使用户浏览附件，从而感染木马。

2.窃取敏感资料的方法

木马程序成千上万，但其窃取资料的手段大致可以归类为以下几条：

（1）搜索文件
通常重要的信息可能存在几类文件中，比如.txt文本、.doc文档、.xls表格等等，那么木马作者可能就会让木马程序自动搜索用户电脑上可能记录了关键信息的文件，从中获取字符串，并记录在自己的日志文件里；此外窃取密码的木马针对性比较强，如针对于某一个网络游戏、某一种商业软件，其记录关键信息的位置往往也固定于一些文件之中，通过遍历文件，搜索其中关键字符，也同样能够获取到有用信息。

（2）键盘截取
这类木马功能较为简单，不针对各类文件，而直接针对于用户输入信息的关键设备——键盘。木马运行后，会将用户敲击键盘的顺序和内容记录下来，存为一个文本，其中可能就包括了用户的一些常用的帐号和密码，成功率也比较高。

（3）检测有效窗口
当木马检测到某个程序的窗口为当前有效窗口时，其会启动记录功能，将用户输入到窗口的信息完整记录下来，例如检测传奇客户端窗口。

（4）查找cookie信息
用户在登陆一些网页时会产生一些cookie信息，其中可能包含了一些像用户名及密码一类的关键信息，木马程序会读取cookie文件，从而获得有效信息。