劉紅艷

文章編號(hào)：1672-5913(2009)10-0182-02

摘 要：當(dāng)前，黑客利用加殼等技術(shù)手段使“工業(yè)化生產(chǎn)病毒”成為趨勢(shì)，只要從網(wǎng)上下載加殼工具，就可以自動(dòng)生產(chǎn)出病毒。而具有越來(lái)越明顯盜竊特性的木馬類病毒將更易給受害者造成直接損失。本文闡述了我國(guó)木馬病毒的發(fā)展現(xiàn)狀及特點(diǎn)，探討了防范此類病毒的具體措施。

關(guān)鍵詞：木馬；病毒；安全防范

中圖分類號(hào)：G642

文獻(xiàn)標(biāo)識(shí)碼：A

目前，病毒產(chǎn)業(yè)鏈越來(lái)越完善，從病毒程序開(kāi)發(fā)、傳播病毒到銷售病毒，形成了分工明確的整條操作流程。黑客利用電腦病毒竊取的個(gè)人資料從QQ密碼、網(wǎng)游密碼到銀行賬號(hào)、信用卡帳號(hào)等等，包羅萬(wàn)象，任何可以直接或間接轉(zhuǎn)換成金錢的東西，都成為黑客竊取的對(duì)象。通過(guò)分工明確的產(chǎn)業(yè)化操作，每天有數(shù)百甚至上千種病毒被制造出來(lái)，其中大部分是木馬和后門病毒，占到全球該類病毒的三分之一左右。

1認(rèn)識(shí)木馬病毒

木馬病毒是指寄生于用戶計(jì)算機(jī)系統(tǒng)中，盜竊用戶信息，并通過(guò)網(wǎng)絡(luò)發(fā)送給木馬設(shè)計(jì)者的病毒程序。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶端(Client)，即控制端，另一個(gè)是服務(wù)端(Server)，即被控制端?？蛻舳顺绦蛴糜谶h(yuǎn)程控制計(jì)算機(jī)；而服務(wù)端程序，則隱藏到遠(yuǎn)程計(jì)算機(jī)中，接收并執(zhí)行客戶端程序發(fā)出的命令。所以當(dāng)黑客通過(guò)網(wǎng)絡(luò)控制一臺(tái)遠(yuǎn)程計(jì)算機(jī)時(shí)，第一步就需要將服務(wù)端程序植入到遠(yuǎn)程計(jì)算機(jī)。為了能夠讓用戶執(zhí)行木馬程序，黑客常常通過(guò)各種方式對(duì)它進(jìn)行偽裝。木馬的服務(wù)一旦運(yùn)行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動(dòng)、復(fù)制、刪除文件，修改注冊(cè)表，更改計(jì)算機(jī)配置等。

2幾種常見(jiàn)的木馬病毒

(1) 反彈端口型木馬：木馬開(kāi)發(fā)者分析了防火墻的特性后，發(fā)現(xiàn)防火墻對(duì)于連入的鏈接會(huì)進(jìn)行非常嚴(yán)格的過(guò)濾，但是對(duì)于連出的鏈接卻疏于防范。于是，與一般的木馬相反，反彈端口型木馬的服務(wù)端(被控制端)使用主動(dòng)端口，客戶端(控制端) 使用被動(dòng)端口。

(2) 信息竊取型/密碼發(fā)送型：這種木馬可以找到目標(biāo)機(jī)的隱藏密碼，并且在受害者不知道的情況下，把它們發(fā)送到指定的信箱。

(3) 鍵盤記錄木馬：這種木馬是非常簡(jiǎn)單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。這種木馬隨著Windows 的啟動(dòng)而啟動(dòng)。

(4) 遠(yuǎn)程控制型：這種木馬是現(xiàn)在使用最廣泛的木馬，它可以遠(yuǎn)程訪問(wèn)被攻擊者的硬盤。只要有人運(yùn)行了服務(wù)端程序，客戶端通過(guò)掃描等手段知道了服務(wù)端的IP地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制。

(5)FTP木馬：這種木馬可能是最簡(jiǎn)單和古老的木馬，它的唯一功能就是打開(kāi)21端口，等待用戶連接。

(6) 程序殺手木馬：上面列舉的木馬功能雖然形形色色，要想在對(duì)方機(jī)器上發(fā)揮自己的作用，須繞過(guò)防木馬軟件。程序殺手木馬的功能就是關(guān)閉對(duì)方機(jī)器上運(yùn)行的這類程序，讓其他木馬更好地發(fā)揮作用。

(7) 破壞型：唯一的功能就是破壞并且刪除文件?？梢宰詣?dòng)的刪除電腦上的DLL、INI、EXE文件。

(8) 代理木馬：用戶感染代理類木馬后，會(huì)在本機(jī)開(kāi)啟HTTP、SOCKS等代理服務(wù)功能。黑客把受感染計(jì)算機(jī)作為跳板，以被感染用戶的身份進(jìn)行黑客活動(dòng)，達(dá)到隱藏自己的目的。

3木馬病毒的傳播途徑

(1) 通過(guò)E-mail：早期的木馬，大多是通過(guò)發(fā)送電子郵件的方式把入侵主機(jī)信息告訴攻擊者，有一些木馬程序干脆把主機(jī)所有的密碼用郵件的形式通知給攻擊者，這樣攻擊者就不用直接連接攻擊主機(jī)即可獲得一些重要數(shù)據(jù)，如攻擊OICQ密碼的GOP木馬。由控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開(kāi)附件就會(huì)感染木馬。

(2) 通過(guò)軟件下載：一些非正規(guī)的網(wǎng)站以提供軟件下載為名，將木馬捆綁在軟件安裝程序上，下載后，只要運(yùn)行這些程序，木馬就會(huì)被自動(dòng)安裝了。

(3) 通過(guò)Script、ActiveX及ASP、CGI交互腳本的方式植入：由于IE 瀏覽器在執(zhí)行Script腳本上存在安全漏洞，因此，木馬就可以利用這些漏洞很容易植入被攻擊的電腦。

(4) 利用一些系統(tǒng)漏洞植入，如著名的IIS服務(wù)器溢出漏洞：通過(guò)一個(gè)IISHACK 攻擊程序使IIS服務(wù)器崩潰，同時(shí)在服務(wù)器上執(zhí)行木馬程序，從而植入木馬。

(5) 通過(guò)移動(dòng)存儲(chǔ)設(shè)備(U盤等)：主要是依賴微軟操作系統(tǒng)Windows的Autorun(自動(dòng)運(yùn)行)功能，使得計(jì)算機(jī)用戶在雙擊打開(kāi)U盤的時(shí)候，自動(dòng)執(zhí)行木馬程序，進(jìn)而感染計(jì)算機(jī)系統(tǒng)。

4木馬病毒的防范措施

木馬病毒越來(lái)越隱蔽，破壞性也越來(lái)越大，給人們的日常工作和生活甚至是國(guó)家安全都帶來(lái)了巨大的影響。木馬實(shí)質(zhì)上是一個(gè)程序，必須運(yùn)行后才能工作，所以肯定會(huì)在電腦中留下珠絲馬跡，我們可以從“防、查、堵、殺”四方面入手。

4.1防

必須在思想上引起高度的重視，增強(qiáng)安全意識(shí)，防患于未然。

(1) 增強(qiáng)防范意識(shí)

安裝專業(yè)的防毒軟件及時(shí)升級(jí)到最新版本，并打開(kāi)實(shí)時(shí)監(jiān)控程序；安裝帶有“木馬墻”功能的個(gè)人防火墻軟件，防止密碼丟失。打開(kāi)防病毒軟件的“系統(tǒng)監(jiān)控”功能，從注冊(cè)表、系統(tǒng)進(jìn)程、內(nèi)存、網(wǎng)絡(luò)等多方面對(duì)各種操作進(jìn)行主動(dòng)防御，達(dá)到全方位保護(hù)計(jì)算機(jī)系統(tǒng)安全的目的。養(yǎng)成良好的上網(wǎng)習(xí)慣，盡量從大規(guī)模門戶網(wǎng)站或官方網(wǎng)站瀏覽信息，不隨意登陸不明網(wǎng)站及不規(guī)范網(wǎng)站。不要隨便打開(kāi)來(lái)歷不明的郵件附件或點(diǎn)擊陌生郵件的網(wǎng)頁(yè)鏈接。在瀏覽互聯(lián)網(wǎng)時(shí)，若以微軟IE為核心的瀏覽器上網(wǎng)，則要隨時(shí)關(guān)注微軟官方網(wǎng)站，及時(shí)升級(jí)補(bǔ)丁程序。

(2) 網(wǎng)站管理需更加嚴(yán)格

針對(duì)目前大量網(wǎng)站攜帶木馬病毒，甚至公開(kāi)販賣病毒的現(xiàn)象，應(yīng)加大網(wǎng)站管理力度，力爭(zhēng)從源頭阻擊木馬病毒，使之沒(méi)有擴(kuò)散的機(jī)會(huì)，是防范網(wǎng)頁(yè)木馬的根本。

4.2查

(1) 檢查系統(tǒng)進(jìn)程

大部分木馬運(yùn)行后會(huì)顯示在進(jìn)程管理器中，所以對(duì)系統(tǒng)進(jìn)程列表進(jìn)行分析和過(guò)濾，可以發(fā)現(xiàn)可疑程序。特別是利用與正常進(jìn)程的CPU資源占用率和句柄數(shù)的比較，發(fā)現(xiàn)異常現(xiàn)象。

(2) 檢查ini文件

木馬可在Win.ini和System.ini的“run=”、“l(fā)oad=”、“shell=”后面加載，如果這些選項(xiàng)后面加載程序是你不認(rèn)識(shí)的，就有可能是木馬。

(3) 檢查注冊(cè)表

木馬為了能夠在開(kāi)機(jī)后自動(dòng)運(yùn)行，往往在注冊(cè)表中添加注冊(cè)表項(xiàng)。一般來(lái)說(shuō)，木馬在注表中實(shí)現(xiàn)加載文件一般是在以下等處：HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersion下所有以“run”開(kāi)頭的鍵值；HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion下所有以“run”開(kāi)頭的鍵值；HKEY_USERS. DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開(kāi)頭的鍵值。此外在注冊(cè)表中的HKEY_CLASSES_ ROOTexefileshellopencommand=””%1”%*”處，如果其中的“%1”被修改為木馬，那么每次啟動(dòng)一個(gè)該可執(zhí)行文件時(shí)木馬就會(huì)啟動(dòng)一次，例如著名的冰河木馬就是將TXT文件的Notepad.exe改成了它自己的啟動(dòng)文件，每次打開(kāi)記事本時(shí)就會(huì)自動(dòng)啟動(dòng)冰河木馬，做得非常隱蔽。

(4) 檢查啟動(dòng)組

啟動(dòng)組也是木馬藏身的好地方。啟動(dòng)組對(duì)應(yīng)的文件夾為：C:windowsstartmenuprogramsstartup，在注冊(cè)表中的位置：HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorerShellFolders Startup=“C:windows startmenuprogramsstartup”。檢查是否有可疑的啟動(dòng)程序，便很容易查到是否中了木馬。

(5) 檢查端口

遠(yuǎn)程控制型木馬以及輸出shell型木馬，大都會(huì)在系統(tǒng)中監(jiān)聽(tīng)某個(gè)端口，接收從控制端發(fā)來(lái)的命令，并執(zhí)行。通過(guò)檢查系統(tǒng)上開(kāi)啟的一些“奇怪”的端口，從而發(fā)現(xiàn)木馬的蹤跡。在命令行中輸入netstat -na，可以清楚地看到系統(tǒng)打開(kāi)的端口和連接。

4.3堵

(1) 堵住控制通路

通過(guò)禁用網(wǎng)絡(luò)連接或拔掉網(wǎng)絡(luò)，可以完全避免遠(yuǎn)端計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)對(duì)你的控制。當(dāng)然，亦可以通過(guò)設(shè)置防火墻應(yīng)用規(guī)則或過(guò)濾UDP、TCP、ICMP端口。

(2) 堵安全漏洞

Windows操作系統(tǒng)，特別是IE瀏覽器的安全漏洞頻出，無(wú)疑給木馬傳播打開(kāi)方便之門。及時(shí)安裝Windows安全更新，多安裝一個(gè)微軟的安全更新程序，就能有效免疫相當(dāng)一部分網(wǎng)頁(yè)木馬。將常用的第三方軟件(例如RealPlayer，暴風(fēng)影音、迅雷、聯(lián)眾世界等)及時(shí)升級(jí)到最新版本，也可以在一定程度上降低威脅。因此，我們要養(yǎng)成打補(bǔ)丁的習(xí)慣，對(duì)切斷木馬病毒的傳播途徑將具有極好的效果。

4.4殺

(1) 使用木馬查殺軟件

用戶系統(tǒng)要安裝木馬查殺軟件，實(shí)際上一般的普通殺毒軟件里都包含了對(duì)木馬的查殺功能。對(duì)于查殺軟件，一定要經(jīng)常升級(jí)，不斷更新木馬代碼庫(kù)里的數(shù)據(jù)，并通過(guò)病毒公告及時(shí)了解新木馬的預(yù)防和查殺絕技。

(2) 手工刪除

對(duì)于一些可疑文件，不能立即刪除，因?yàn)橛锌赡苡捎谡`刪系統(tǒng)文件而使計(jì)算機(jī)不能正常工作。首先備份可疑文件和注冊(cè)表，接著用Ultraedit32編輯器查看文件首部信息，通過(guò)可疑文件里面的明文字符對(duì)木馬有一個(gè)大致了解。最后，刪除木馬文件及注冊(cè)表中的鍵值。

5結(jié)束語(yǔ)

總之，我們要從習(xí)慣、意識(shí)、工具、機(jī)制等四個(gè)層面上確保網(wǎng)絡(luò)安全，防止出現(xiàn)信息“泄密”。

參考文獻(xiàn)：

[1] 張友生,米安然.計(jì)算機(jī)病毒與木馬程序剖析[M]. 北京:北京科海電子出版社,2003.

[2] 馬宜興.網(wǎng)絡(luò)安全與病毒防范[M].上海:上海交通大學(xué)出版社,2005.

Talking about the Trojan-Horse and the Defensive Measures in the Internet Age

LIU Hong-yan

(Doumen Radio &TV University，Zhuhai 519100, China )

Abstract: Presently, it become the tendency that hackers produce viruses in industrialization by the technical methods of the addition shell, and viruses may be producted automatically as long as the shell tool will be downloaded from the net. Trojan-horse virus that has more and more obvious burglary characteristic changes to create loses directly to the victim. This article elaborated the present situation and characteristics on our country Trojan-horse virus development, and discussed the specific safety defensive measures against the kind of viruses.

Key words: Trojan-horse; virus; safety defensive measures