트로이 목마 바이러스란 무엇입니까?
트로이목마란 무엇인가 - -
트로이목마 바이러스는 고대 그리스 트로이전쟁의 유명한 '트로이목마 전략'에서 이름을 따온 것으로, 이름에서 알 수 있듯이 네트워크이다. 잠복해 있다가 기회를 노리는 바이러스다. 성숙해지면 밖으로 나와 다른 사람에게 해를 끼친다.
감염 방법: 다른 프로그램에 번들로 포함된 이메일 첨부 파일을 통해 전송됩니다.
바이러스 특성: 레지스트리를 수정하고 메모리에 상주하며 시스템에 백도어 프로그램을 설치하고 시작 시 포함된 트로이 목마를 로드합니다.
트로이 목마 바이러스의 파괴성: 트로이 목마 바이러스가 시작되면 사용자 컴퓨터에서 클라이언트 프로그램을 실행해야 하며, 일단 발생하면 사용자의 개인 정보를 지정된 주소로 정기적으로 보내도록 백도어를 설정할 수 있습니다. 일반적으로 이 프로그램에는 사용자의 컴퓨터에 들어갈 수 있는 포트가 내장되어 있으며 컴퓨터를 임의로 제어하여 파일 삭제, 복사, 비밀번호 변경 등을 수행할 수 있습니다.
트로이 목마에 대한 이해 기본부터
포트
인터넷 서핑을 할 때, 채팅을 할 때, 이메일을 보낼 때, 다른 프로토콜이 있어야 합니다. 이 프로토콜이 바로 TCP/IP 프로토콜입니다. . 모든 네트워크 소프트웨어의 통신은 TCP/IP 프로토콜을 기반으로 합니다. 인터넷을 도로 네트워크에 비유하면 컴퓨터는 길가에 있는 집입니다. 집에 들어가고 나가려면 문이 있어야 합니다. TCP/IP 프로토콜에서는 컴퓨터가 256개의 문을 가질 수 있다고 규정합니다. , "문" 번호는 0부터 65535까지입니다. TCP/IP 프로토콜에서는 이를 "포트"라고 부릅니다. 이메일을 보내면 이메일 소프트웨어는 메일 서버의 포트 25로 편지를 보냅니다. 이메일을 받으면 이메일 소프트웨어는 메일 서버의 포트 110을 통해 편지를 받습니다. 지금 보이는 것은 포트입니다. 80이 서버에 들어갑니다. 새로 설치된 개인용 컴퓨터에 열려있는 포트번호는 139번 포트이다. 인터넷 서핑을 할 때 이 포트를 통해 외부세계와 통신한다. 해커는 신이 아니며 포트를 통해 컴퓨터에 침입하기도 합니다.
해커는 어떻게 컴퓨터에 침입하나요? 물론 TCP/IP 프로토콜을 기반으로 하는 특정 포트를 통해 개인용 컴퓨터에도 들어갑니다. 컴퓨터에 개인 디렉터리가 설정되어 있으면 해커가 포트 139를 통해 컴퓨터에 침입할 수 있습니다. 주의하세요! WINDOWS에는 결함이 있습니다. 개인 디렉터리에 비밀번호를 아무리 오래 설정하더라도 몇 초 안에 컴퓨터에 들어갈 수 있으므로 개인 디렉터리를 설정하지 않고 다른 사람이 컴퓨터를 탐색하도록 허용하지 않는 것이 가장 좋습니다. 컴퓨터의 정보. 139번 포트를 제외하고 다른 포트가 열려 있지 않으면 해커가 개인 컴퓨터에 침입할 수 없습니다. 그렇다면 해커는 어떻게 컴퓨터에 침입할까요? 대답은 트로이 목마를 통해 컴퓨터에 침입하는 것입니다. 실수로 트로이 목마를 실행하게 되면 컴퓨터의 특정 포트가 열리게 되고, 해커가 이 포트를 통해 컴퓨터에 침입할 수 있습니다. 예를 들어 netspy.exe라는 일반적인 트로이 목마 소프트웨어가 있습니다. 실수로 netspy.exe를 실행하면 컴퓨터를 켤 때마다 WINDOWS가 이를 실행하도록 지시합니다. 그런 다음 netspy.exe는 컴퓨터에서 또 다른 "문"을 엽니다. "문" "번호는 포트 7306입니다. 해커는 귀하의 포트 7306이 열려 있다는 것을 알고 소프트웨어를 사용하여 비밀리에 귀하의 컴퓨터에 들어갈 수 있습니다. 트로이 목마는 그 자체로 개인용 컴퓨터에 침입하도록 설계되어 있으며, 컴퓨터 내부에 숨어 작업할 경우에는 매우 숨겨져 있으며 해커의 침입은 컴퓨터 화면에 어떠한 흔적도 남기지 않습니다. WINDOWS 자체에는 네트워크를 모니터링하는 소프트웨어가 없기 때문에 소프트웨어의 도움 없이는 트로이 목마의 존재와 해커의 침입을 알 수 없습니다. 다음으로, 소프트웨어를 사용할 수 있습니다.
컴퓨터에서 트로이 목마를 탐지하는 방법
netspy.exe를 예로 들면, 이제 netspy.exe가 트로이 목마의 포트 7306을 여는 것을 알 수 있습니다. 컴퓨터가 netspy.exe에 감염되었는지 알고 싶다면 "문" 7306을 두드리세요. 먼저 C:\WINDOWS\WINIPCFG.EXE 프로그램을 열고 IP 주소(예: IP 주소는 10.10.10.10)를 찾은 다음 브라우저를 열고 브라우저의 주소 표시줄에 spy.exe 버전을 입력합니다. , 그러면 컴퓨터가 netspy.exe 트로이 목마에 감염되었습니다.
이것은 가장 간단하고 직접적인 방법이지만 다양한 트로이 목마가 열어 놓은 포트를 알아야 합니다. 다음 포트는 트로이 목마가 열어 놓은 것으로 알려져 있습니다: 7306, 7307, 7308, 12345, 12345, 12346, 31337, 6680, 8111, 9910. 그러나 알려진 모든 트로이 목마 포트에 대해 잘 알고 있더라도 여전히 이러한 트로이 목마를 완전히 예방할 수는 없습니다.
트로이 목마에 대한 추가 검색
저는 한 번 실험을 했습니다. netspy를 알아보세요. .exe는 포트 7306을 열었기 때문에 도구를 사용하여 포트를 수정했습니다. 변형된 트로이 목마는 포트 7777을 열었습니다. 지금 이전 방법을 사용하면 netspy.exe 트로이 목마를 찾을 수 없습니다. 따라서 우리는 자신의 컴퓨터를 스캔하여 컴퓨터에 열려 있는 포트 수를 확인한 다음 이러한 열린 포트를 분석할 수 있습니다.
앞서 언급했듯이 컴퓨터 포트는 0부터 65535까지이며 그 중 포트 139가 정상입니다. 먼저 "프록시 헌터"를 찾으십시오. 온라인에 접속한 후 IP 주소를 찾으십시오. 열려 있는 포트가 트로이 목마 포트로 오인될 수 있으므로 이제 실행 중인 네트워크 소프트웨어를 닫은 다음 프록시 헌터가 포트 0~65535를 검색하도록 하십시오. 포트 139 외에 다른 포트가 열려 있으면 트로이 목마로 인한 것일 수 있습니다. 139번 포트 이외의 포트를 제외시킨 후, 브라우저를 이용해 이 포트에 들어가시면 어떤 반응을 보일지 좀 더 자세히 분석해 보실 수 있습니다.
너무 많은 포트를 스캔하는 것이 피곤하지 않습니까? 기다리는 데 30분 이상이 걸립니다. 이제 스레드 모니터를 현지화하여 어떤 포트가 열려 있는지 확인할 수 있습니다. 컴퓨터에 포트 139 외에도 다른 포트가 열려 있으며 이를 분석할 수 있습니다. 컴퓨터에 트로이 목마가 있는 것으로 확인되면 다음을 수행해야 합니다.
하드 디스크에서 트로이 목마를 삭제하세요.
물론 가장 쉬운 방법은 바이러스 백신 소프트웨어를 사용하여 트로이 목마를 삭제하는 것입니다. Netvrv 바이러스 보호벽은 netspy.exe 및 bo.exe 트로이 목마를 삭제하는 데 도움이 되지만 netbus 트로이 목마는 삭제할 수 없습니다.
삭제 과정을 설명하기 위해 넷버스 트로이목마를 예로 들어보겠습니다.
netbus Trojan에 대해 간단히 소개하자면, netbus Trojan에는 두 가지 클라이언트가 있는데, 둘 다 포트 12345를 엽니다. 하나는 Mring.exe(472,576바이트)로 표시되고, 다른 하나는 SysEdit로 표시됩니다. exe는 (494,592바이트)를 나타냅니다. Mring.exe가 실행되면 Mring.exe는 시작될 때마다 이를 실행하도록 WINDOWS에 지시합니다. C:\WINDOWS\REGEDIT.EXE를 열고 HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion을 입력할 수 있습니다. \실행하여 Mring.exe를 찾아 이 키 값을 삭제한 다음 WINDOWS에서 Mring.exe를 찾아서 삭제합니다. Mring.exe의 이름은 해커에 의해 변경될 수 있으며 바이트 길이도 변경될 수 있지만 레지스트리의 위치는 변경되지 않습니다. 레지스트리에서 이 위치로 이동하여 찾을 수 있습니다. 또한 "netbus" 문자가 포함된 실행 파일을 찾아 바이트 길이를 확인할 수 있습니다. 제가 확인한 결과 WINDOWS 및 일부 다른 응용 프로그램 소프트웨어에는 "netbus" 문자가 포함되어 있지 않은 것으로 나타났습니다. Mring.exe의 변종. SysEdit.exe를 실행한 후에는 WINDOWS 레지스트리에 추가되지 않고 자동으로 다른 프로그램에 연결되지 않기 때문에 바보 트로이목마라고 생각하는 분들도 계시지만 저는 가장 혐오스럽고 교활한 트로이목마라고 생각합니다. 레지스트리에 다른 트로이 목마가 추가되면 흔적을 확인할 수 있습니다. 전문가들이 가장 악의적이라고 생각하는 BO 트로이 목마도 레지스트리에서 쉽게 삭제할 수 있습니다. SysEdit.exe가 다른 소프트웨어에 걸려 있는 경우, 이 소프트웨어를 건드리지 않는 한 SysEdit.exe는 발생하지 않습니다. SysEdit.exe가 설치된 프로그램을 실행하면 SysEdit.exe도 동시에 시작됩니다. .
저자는 자신의 컴퓨터에서 이러한 실험을 수행했으며 SysEdit.exe를 C:\WINDOWS\SYSTEM\Abcwin.exe와 함께 번들로 제공했습니다. Abcwin.exe는 컴퓨터를 켜고 온라인에 접속할 때 사용되는 지능형 ABC 입력 방법입니다. 지능형 입력 방법이 켜져 있지 않습니다. ABC 입력 방법 입력 채팅, SysEdit.exe가 실행되지 않습니다. 내 12345 포트를 입력할 수 없습니다. 언제든지 입력하려면 스마트 ABC 입력 방법(Abcwin.exe)을 사용하면 됩니다. 시작된 후 Abcwin.exe에 번들로 제공되어 컴퓨터의 SysEdit.exe도 동시에 실행되고 있으며 다른 사람이 내 컴퓨터를 해킹할 수 있습니다. 같은 방식으로 SysEdit.exe는 네트워크 호출기 및 사서함 도구와 같은 네트워크 도구 또는 전화 접속 도구에 번들로 포함될 수 있습니다. 컴퓨터에 있는 수백 개의 프로그램 중 어디서 찾을 수 있는지 알고 계십니까? 그래서 나는 이것이 가장 교활하고 경계하기 어려운 트로이 목마라고 말합니다.
가끔 넷버스 트로이 목마, 특히 SysEdit.exe에 감염되었다는 사실을 알고 포트 12345가 열려 있는 것을 발견하고 넷버스 클라이언트 소프트웨어를 사용하여 내 컴퓨터에 들어갈 수 있지만, 그렇지 않습니다. 트로이 목마가 어디에 있는지 모릅니다. 이때 메모리를 확인할 수 있습니다. C:\WINDOWS\DRWATSON.EXE를 열고 메모리 사진을 찍어 "고급 보기"의 "작업" 탭을 확인하십시오. "열. 의심스러운 프로그램을 발견하면 "경로"열을 보고 해당 프로그램을 찾아 분석하면 트로이목마인지 아닌지 알 수 있다. SysEdit.exe는 다른 프로그램 뒤에 숨겨져 있을 수 있지만 여전히 C:\WINDOWS\DRWATSON.EXE에 표시됩니다.
컴퓨터에 트로이 목마가 있는지 확인하려면 의심스러운 포트가 열려 있는지 확인하기만 하면 됩니다. 트로이 목마를 찾으려면 먼저 레지스트리의 지정된 위치로 이동하여 해당 실행 프로그램을 검색할 수 있습니다. 예를 들어 열려 있는 포트가 7306인 경우 "netspy"가 포함된 실행 프로그램을 찾으십시오. ; 셋째, 메모리를 확인하고 메모리에 적합한 프로그램이 있는지 확인하십시오.
당신의 컴퓨터에는 두 가지 트로이 목마 소스가 있습니다. 하나는 실수로 트로이 목마가 포함된 프로그램을 실행하는 것이고, 다른 하나는 "네티즌"이 당신에게 "재미있는" 프로그램을 제공하는 것입니다. 따라서 앞으로는 어떤 프로그램인지 잘 알아보고 실행해 보아야 합니다. 설치는 쉽지만 문제 해결은 어렵습니다. 트로이 목마를 제거한 후 포트를 모니터링할 수 있습니다.
해커가 올 때까지 조용히 기다리세요
두 가지 소프트웨어를 소개합니다. 첫 번째는 포트 모니터인 NukeNabber입니다. NukeNabber에 필요한 것 포트 7306을 모니터링하세요. 누군가 이 포트에 접근하면 즉시 경찰에 신고하세요. 다른 사람의 눈에는 컴퓨터의 포트 7306이 열려 있지만 7306은 netspy에 의해 제어되지 않습니다. NukeNabber는 누군가가 포트 7306을 터치하거나 포트 7306에 들어가려고 시도하는 것을 발견하면 즉시 해커의 응답을 볼 수 있습니다. NukeNabber에서 무엇을 하는지, 해커의 IP 주소는 무엇인지, 그러면 차례로 해커를 공격할 수 있습니다. NukeNabber가 139를 모니터링하면 누가 IP 폭탄을 터뜨리고 있는지 알 수 있습니다. 또한 NukeNabber가 포트 7306을 모니터링할 수 없다고 말하고 이 포트가 이미 사용 중이라고 말한다면 이는 컴퓨터에 netspy가 존재한다는 의미입니다. 두 번째 소프트웨어는 Tcpview.exe입니다. 이 소프트웨어를 사용하면 열려 있는 포트 수, 나와 통신 중인 사람, 상대방의 IP 주소 및 포트가 무엇인지 확인할 수 있습니다.