木馬的危害與防范
一��、木馬的危害
木馬這個名稱來源于古希臘的特洛伊木馬神話��。傳說希臘人攻打特洛伊城久攻不下��,希臘將領奧德修斯獻了一計��,把一批勇士埋伏在一匹巨大的木馬腹內��,放在城外��,然后佯作退兵��。特洛伊人以為敵兵已退��,就把木馬作為戰(zhàn)利品搬入城中��。到了夜間��,埋伏在木馬中的勇士跳出來��,打開了城門��,希臘將士一擁而入攻下了城池��。后來��,人們就常用“特洛伊木馬”比喻在敵方營壘里埋下伏兵里應外合的活動��。如今借用其名比喻黑客程序��,有“一經潛入��,后患無窮”的意思��。
計算機領域中所謂的木馬是指那些冒充合法程序卻以危害計算機安全為目的的非法程序��。它是具有欺騙性的文件��,是一種基于遠程控制的黑客工具��,具有隱蔽性和非授權性的特點��。隱蔽性是指木馬設計者為了防止木馬被發(fā)現��,會采用多種手段隱藏木馬��,這樣用戶即使發(fā)現感染了木馬��,也難以確定其具體位置;非授權性是指一旦木馬控制端與服務器端連接后��,控制端將獲得服務器端很多操作權限��,如操作文件��、修改注冊表��、控制外設等��。
木馬是一種后門程序��,就象先前所說的��,它進去了��,而且是你把它請進去的��,要怪也只能怪自己不小心��,混進去的希臘士兵打開了特洛伊的城門��,木馬程序也會在你的系統(tǒng)打開一個“后門”��,黑客們從這個被打開的特定“后門”進入你的電腦��,就可以隨心所欲地擺布你的電腦了。黑客們通過木馬進入你的電腦后能夠做什么呢��?可以這樣說��,你能夠在自己的電腦上做什么��,他也同樣可以辦到��。你能夠寫文件��,他也可以寫��,你能夠看圖片��,他也可以看��,他還可以得到你的隱私��、密碼��,甚至你鼠標的每一下移動��,他都可以盡收眼底!而且還能夠控制你的鼠標和鍵盤去做他想做的任何事��,比如打開你珍藏的照片��,然后在你面前將它永久刪除��,或是冒充你發(fā)送電子郵件��、進行網上聊天��、網上交易等活動��,危害十分嚴重��。
想到木馬��,人們就想到病毒��,這里要為木馬澄清一下��,木馬確實被殺毒軟件認為是病毒��,但是��,木馬本身不是病毒��。反之��,病毒也不是木馬��。電腦病毒是破壞電腦里的資料數據,而木馬不一樣��,木馬的作用是偷偷監(jiān)視別人的操作和竊取用戶信息��,比如偷竊上網密碼��、游戲賬號��、股票賬號��、網上銀行賬號等��。過去��,黑客編寫和傳播木馬的目的是為了窺探他人隱私或惡作劇��,而當前木馬已基本商業(yè)化��,其目的直指目標計算機中的有用信息��,以撈取實際的利益��,并且已經形成了一條黑色產業(yè)鏈��。著眼于竊取文件資料的木馬��,以擺渡木馬為典型代表��,其工作機制是能夠跨過內外網之間的物理障礙��,是各級涉密部門必須重點關注和防范的對象��。
木馬程序雖然不是病毒��,但它可以和最新病毒或是漏洞利用工具捆綁在一起使用��。當前��,病毒和木馬在技術上相互借鑒��,在功能上相互融合��,在傳播上相互配合��,有的程序同時具有木馬和病毒的特征��,很多時候難以明確區(qū)分它到底是病毒還是木馬��。病毒的傳播和木馬靈活的可控性結合起來��,使得兩者混合而成的“怪胎”��,具有更加嚴重的危害性。根據有關部門公布的資料顯示��,2008年新增木馬達到100多萬個��,預計2010年的時候這個數量將達到千萬以上��。由于木馬威脅日趨嚴重��,它已經取代傳統(tǒng)病毒成為網絡安全的頭號大敵��。加之木馬和病毒呈現一體化的趨勢��,大多數反病毒廠商對木馬和病毒已經不做嚴格區(qū)分��,而是按照統(tǒng)一規(guī)則命名��,并給予更高的關注��。
殺毒軟件查殺木馬��,多是根據木馬體內的特征代碼來判斷��。因此��,在網絡應用中��,黑客常采用“偷梁換柱”的方法來保障木馬不被查殺��,黑客將合法的程序代碼鑲嵌到木馬程序中來欺騙殺毒軟件��,躲過殺毒軟件的查殺��。盡管現在出現了越來越多的新版殺毒軟件��,可以查殺一些木馬��,但是不要認為使用有名廠家的殺毒軟件電腦就絕對安全��,稍微高明一點的木馬幾乎可以躲過絕大部分殺毒軟件的查殺��?�?梢赃@樣說��,對于上網用戶而言��,木馬永遠是防不勝防的��。
二��、木馬的騙術
由于普通木馬并不像病毒那樣具備傳染性��,黑客想要控制某臺計算機,他就必須采取欺騙的方式��,千方百計地誘使用戶運行木馬程序��。我們稱黑客這種做法叫做“瞞天過海”計��。在網絡安全的應用中��,“瞞天過海”的“瞞”字可以理解為黑客對木馬進行的各種偽裝,“過”字可以理解為欺騙用戶��,然后在用戶的系統(tǒng)中植入木馬��。木馬的偽裝常常需要全方位立體化的操作��。木馬程序偽裝的對象��,一類是圖片��、文本文檔��、音頻和視頻等非可執(zhí)行文件��。計算機用戶通常認為這類文件是不可執(zhí)行的就是無害的��。很多時候木馬程序將自身圖標更換為這類文件的圖標��,然后起一個極具誘惑性的文件名��,再使用類似“txt.exe”��、“jpg.exe”這樣的雙重后綴名��,利用Windows操作系統(tǒng)默認的顯示特性��,使用戶錯誤地判斷該文件的真實屬性��,然后不假思索地點擊��,從而達到欺騙用戶運行木馬的目的��。隨著大家網絡安全意識的提高��,用圖標偽裝來騙人已經非常困難��,所以黑客又想出了新的偽裝方法��,譬如將木馬偽裝成合法軟件��。木馬常借助文件合并工具偽裝成合法軟件��。文件合并工具可以將兩個或兩個以上的可執(zhí)行文件合并成一個文件,以后只需執(zhí)行這個合并文件��,兩個可執(zhí)行文件就會同時執(zhí)行��。如果黑客將一個合法文件和一個木馬合并��,這樣受害者在執(zhí)行合法文件的同時也毫無察覺地植入了木馬程序��,因此這種木馬更加隱蔽和難以查殺��。
前面講了木馬程序是如何進行偽裝來欺騙用戶安裝的��,而那些帶有偽裝的木馬文件是怎么傳播到受害者的計算機中去的呢?總結一下主要有以下幾種常見的路徑��。
一是通過不良鏈接傳播��。在一些網站��、論壇��、博客等信息發(fā)布平臺��,黑客會故意散布一些用戶感興趣的鏈接��,誘騙用戶訪問不良網站或點擊下載含有木馬的文件��。
二是通過即時通信工具傳播��。在MSN��、QQ等聊天過程中��,一些套近乎的陌生人發(fā)送的文件中很可能含有木馬��。
三是通過電子郵件傳播��。黑客批量發(fā)送垃圾郵件��,將木馬藏在郵件的附件中��,收件人只要查看郵件就會中招?�,F在的網絡間諜攻擊��,手法越來越多樣��,越來越隱蔽��。有一家涉密單位的工作人員收到了所謂的“上級機關”發(fā)來的一封郵件��,內容是“病毒木馬檢測程序”��。一看是自己人,來信又正好對路��,工作人員沒有多想就打開信件��,運行程序��,結果境外間諜機關的木馬一下植入了電腦中��,原來這個所謂的“上級機關”是境外網絡間諜冒的名��。像這樣的網絡間諜騙局花樣繁多��,針對不同的對象會設計不同的欺騙形式��。比如偽裝成被攻擊對象很需要且很可信的郵件��,有時點擊右鍵甚至還會彈出諸如“無病毒"之類的提示來迷惑操作者��。
四是通過下載網站傳播��。一些非正規(guī)的網站以提供免費軟件下載為名��,將木馬捆綁在軟件中��。當用戶下載安裝這些經過捆綁的軟件時��,木馬也隨之被安進了系統(tǒng)��。
五是通過網頁瀏覽傳播��。也就是當前流行的“網頁掛馬"��。如果說前幾種傳播途徑尚需要受害者“主動”地安裝木馬��,后者的工作原理是利用瀏覽器漏洞編寫帶有木馬的網頁��,或者攻破其它知名網站后��,在其網頁上掛上木馬��,當用戶瀏覽這些網頁后��,瀏覽器會在后臺自動下載木馬到目標計算機中并加以運行��。
六是通過系統(tǒng)漏洞傳播��。黑客利用所了解的操作系統(tǒng)或軟件漏洞及其特性在網絡中傳播木馬��,其原理和蠕蟲病毒如出一轍��。
七是通過盜版軟件傳播��。一些用戶在計算機中安裝的盜版操作系統(tǒng),本身就帶有木馬��,在這樣的系統(tǒng)中工作和上網��,安全性自然得不到保障��。當前一些盜版的應用軟件雖然打著免費的旗號��,但多數也不太“干凈”��,要么附有廣告��,要么帶有木馬或病毒��。
很多保密單位的內部工作網與互聯網是物理隔離的��,但是有關部門做安全檢測時仍然從中發(fā)現了境外情報部門的木馬��。調查表明��,一個重要的途徑是擺渡攻擊��,利用的是優(yōu)盤��、移動硬盤之類的移動存儲介質��。境外間諜部門專門設計了各種各樣的擺渡木馬,并且搜集了大量我國保密單位工作人員的網址和郵箱��,只要這些人當中有聯網使用優(yōu)盤等移動存儲介質的��,擺渡木馬就會悄悄植入移動介質��。一旦這些人違反規(guī)定在內部工作網的計算機上插入優(yōu)盤等移動介質��,擺渡木馬立刻就會感染內網��,把保密資料下載到移動介質上��。完成這樣的擺渡后��,只要使用者再把這個介質接入互聯網電腦�,下載的情報就自動傳到控制端的網絡間諜那里�。擺渡木馬是一種間諜人員定制的木馬,隱蔽性�、針對性很強,一般只感染特定的計算機�,普通殺毒軟件和木馬查殺工具難以及時發(fā)現,對國家重要部門和涉密單位的�、信息安全威脅巨大。
三�、中了木馬的征兆
在使用計算機的過程中如果發(fā)現:
計算機反應速度變慢�;
硬盤在不停地讀寫�;
鼠標鍵盤不聽使喚;
窗口突然被關閉�;
新的窗口被莫名其妙地打開;
網絡傳輸指示燈一直在閃爍�;
系統(tǒng)資源占用很多;
運行了某個程序沒有反映�;
在關閉某個程序時防火墻探測到有郵件發(fā)出……這些不正常現象表明:用戶的計算機中了木馬病毒�。
四、木馬的防范
鑒于木馬危害的嚴重性�,一旦感染,損失在所難免�,而且新的變種層出不窮,因此�,我們在檢測清除它的同時,更要注意采取措施來預防它�,在平時,注意以下幾點能大大減少木馬的侵入�。
1、不要下載�、接收、執(zhí)行任何來歷不明的軟件或文件�。在下載的時候需要特別注意,一般推薦去一些信譽比較高的站點�,盡量使用正版軟件�。在軟件安裝之前一定要用反病毒軟件檢查一下�,建議用專門查殺木馬的軟件進行檢查,確定無毒和無馬后再使用�。
2、不要隨意打開來歷不明的郵件�,即使是來自朋友的郵件也不要輕信,打開附件前必須經過殺毒�。
3、不要瀏覽不健康�、不正規(guī)的網站�,這些網站都是“網頁掛馬”的高發(fā)地帶,訪問這些網站如同“闖雷區(qū)"�,非常危險。
4�、盡量少用共享文件夾。如果因工作等原因必須將電腦設置成共享�,則最好單獨開一個共享文件夾,把所有需要共享的文件都放在這個共享文件夾中�,注意千萬不要將系統(tǒng)目錄設置成共享。
5�、安裝反病毒軟件和防火墻,最好再安裝一套專門的木馬防治軟件�,并及時升級代碼庫。雖然普通防病毒軟件也能基本防治木馬�,但查殺效率和效果趕不上專業(yè)的木馬防治軟件�。
6�、及時打上操作系統(tǒng)的補丁,并經常升級常用的應用軟件�。不但操作系統(tǒng)存在漏洞,應用軟件也存在漏洞�,很多木馬就是通過這些漏洞來進行攻擊的,微軟公司發(fā)現這些漏洞之后都會在第一時間內發(fā)布補丁�,很多時候打過補丁之后的系統(tǒng)本身就是一種最好的木馬防范辦法。
當反病毒軟件發(fā)出木馬警告或懷疑系統(tǒng)有木馬時�,應盡快采取措施,減少損失�。第一步,要馬上拔掉網線�,斷開控制端對目標計算機的連接控制。第二步�,換一臺計算機上網,馬上更改所有的賬號和密碼�,特別是與工作密切相關的應用軟件、網上銀行�、電子郵箱等,凡是需要輸入密碼的地方�,都要盡快變更密碼。第三步�,備份被感染計算機上的重要數據后,格式化硬盤,重裝系統(tǒng)�。第四步,對備份的數據進行殺毒和木馬清除處理�。
木馬工作機制的隱蔽性和竊取信息的便利性,使它成為黑客手中天然的“間諜工具”�。與以往誘騙用戶運行木馬的那種“被動”的傳播方式相比,-當前木馬的傳播普遍采用“主動”出擊的方式�,力圖在最短的時間內控制更多的目標計算機。在近幾年發(fā)生的一些網絡失泄密案件中�,木馬是竊密者的重要作案工具之一。因此�,了解木馬的基本原理和掌握防治措施,已經成為信息時代每一名保密工作者的一項緊迫任務�。
來源:《保密工作簡報》
