呂秀鑒 賈永勝

[摘要]木馬(Trojan)這個名字來源于古希臘傳說,它是指通過一段特定的程序(木馬程序)來控制另一臺計(jì)算機(jī)。木馬通常有兩個可執(zhí)行程序:一個是客戶端,即控制端,另一個是服務(wù)端,即被控制端。木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn),而采用多種手段隱藏木馬。因此,分析對木馬的入侵方式、隱藏手段,并提出了一些預(yù)防措施。

[關(guān)鍵詞]木馬安全威脅預(yù)防

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)1220041-01

木馬的危害性在于它對電腦系統(tǒng)強(qiáng)大的控制和破壞能力,竊取密碼、控制系統(tǒng)操作、進(jìn)行文件操作等等,一個功能強(qiáng)大的木馬一旦被植入你的機(jī)器,攻擊者就可以像操作自己的機(jī)器一樣控制你的機(jī)器,甚至可以遠(yuǎn)程監(jiān)控你的所有操作。

一、木馬的入侵途徑

一般的木馬都有客戶端和服務(wù)器端兩個執(zhí)行程序,其中客戶端是用于攻擊者遠(yuǎn)程控制植入木馬的機(jī)器,服務(wù)器端程序即是木馬程序。攻擊者在使用木馬攻擊系統(tǒng)時,第一步是要把木馬的服務(wù)器端程序植入到被攻擊的電腦里面。

目前木馬入侵的主要途徑是先通過一定的方法把木馬執(zhí)行文件復(fù)制到被攻擊者的電腦系統(tǒng)里,如通過郵件、下載等途徑,然后通過精心構(gòu)造的提示誤導(dǎo)被攻擊者打開執(zhí)行文件。一般的木馬執(zhí)行文件非常小,從幾KB到幾十KB不等,如果攻擊者把木馬捆綁到其它正常文件上,受害者很難發(fā)現(xiàn),所以,有一些網(wǎng)站提供的軟件下載往往是捆綁了木馬文件的,在受害者執(zhí)行這些下載的文件,也同時運(yùn)行了木馬。

其次,木馬可以通過Script、ActiveX及Asp、Cgi等交互腳本的方式植入,由于微軟的瀏覽器在執(zhí)行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對瀏覽者電腦進(jìn)行文件操作等控制。如果攻擊者有辦法把木馬執(zhí)行文件上載到攻擊主機(jī)的一個可執(zhí)行Web文件夾里面,他可以通過編制Cgi程序在被攻擊主機(jī)上執(zhí)行木馬程序。

木馬還可以利用系統(tǒng)的一些漏洞進(jìn)行植入,如微軟著名的IIS服務(wù)器溢出漏洞,通過一個IISHACK攻擊程序使目標(biāo)IIS服務(wù)器崩潰,同時在被攻擊服務(wù)器執(zhí)行遠(yuǎn)程木馬文件。

二、攻擊者竊取受害主機(jī)信息的手段

木馬在被植入攻擊主機(jī)后,它一般會通過一定的方式把入侵主機(jī)的信息,如主機(jī)的IP地址、木馬植入的端口等發(fā)送給攻擊者,這樣攻擊者有這些信息才能夠與木馬里應(yīng)外合控制攻擊主機(jī)。

在早期的木馬里面,大多都是通過發(fā)送電子郵件的方式把入侵主機(jī)信息告訴攻擊者,有一些木馬文件干脆把主機(jī)所有的密碼用郵件的形式通知給攻擊者,這樣攻擊都就不用直接連接攻擊主機(jī)即可獲得一些重要數(shù)據(jù),如攻擊OICQ密碼的GOP木馬即是如此。

使用電子郵件的方式對攻擊者來說并不是最好的選擇,因?yàn)槿绻抉R被發(fā)現(xiàn),可以能過這個電子郵件的地址查出攻擊者。還有一些木馬采用的是通過發(fā)送UDP或者ICMP數(shù)據(jù)包的方式通知攻擊者。

三、木馬隱藏的手段

在運(yùn)行前,木馬通常會將自己偽裝成Txt、Html等常用文件的圖標(biāo),這樣很容易誘騙用戶把它打開。在運(yùn)行中,木馬大多都以彈出某種欺騙性質(zhì)的錯誤窗口使用戶不起疑心,比如操作系統(tǒng)版本錯誤等等。木馬在運(yùn)行后需要自我銷毀和隱藏,又分為兩種類型,一種是隨系統(tǒng)自動啟動的,另一種附加或者捆綁在Windows系統(tǒng)或者其它應(yīng)用程序上,或者干脆替代原文件。如果是前者,木馬會把自己拷貝到windows系統(tǒng)目錄夾下面一個隱蔽的地方,文件屬性設(shè)為隱藏,執(zhí)行后再刪除自己。如果是后者,木馬會尋找系統(tǒng)程序把自己捆綁或者替換到它們身上,這樣用戶運(yùn)行這些系統(tǒng)程序的時候就會激活木馬。

在win9X系統(tǒng)里面,簡單的注冊為系統(tǒng)進(jìn)程即可以從任務(wù)欄里消失,但在windows2000系統(tǒng)里面,任何一個運(yùn)行的進(jìn)程都會在系統(tǒng)管理員權(quán)限下顯示出來,并且可以直接關(guān)閉掉。在最新的一些木馬里面,開始采用了先進(jìn)的DLL陷進(jìn)技術(shù),DLL陷阱技術(shù)是一種針對DLL(動態(tài)鏈接庫)的高級編程技術(shù),編程者用木馬文件替換系統(tǒng)原有的DLL文件,并對所有的函數(shù)調(diào)用進(jìn)行過濾,對于正常的調(diào)用,使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的原系統(tǒng)DLL,對于一些滿足觸發(fā)條件的情況,偽裝的木馬會執(zhí)行一些相對應(yīng)的破壞操作。

四、防治木馬的方法

1.對于安裝新的計(jì)算機(jī)系統(tǒng),要注意及時進(jìn)行系統(tǒng)漏洞掃描,并根據(jù)提示下載安裝系統(tǒng)補(bǔ)丁,這樣可以防止通過系統(tǒng)漏洞傳播的惡意代碼。

2.必須安裝殺毒軟件和個人防火墻,并及時升級。把個人防火墻設(shè)置好安全等級,防止未知程序向外傳送數(shù)據(jù)。這樣即使中了木馬,當(dāng)有程序要連線上網(wǎng)時,防火墻會有所提示,就有可能發(fā)現(xiàn)木馬。此外,可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。

3.如果使用IE瀏覽器,應(yīng)該安裝系統(tǒng)監(jiān)控軟件如卡上網(wǎng)助手,防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件,以免被木馬趁機(jī)侵入。

4.不要運(yùn)行來歷不明的軟件,即使通過一般反病毒軟件的檢查也不要輕易運(yùn)行?，F(xiàn)在的反病毒軟件把特洛伊木馬定性為病毒,但還有相當(dāng)數(shù)量的木馬是這些軟件所不能檢查出來的,尤其是一些有一定編程技術(shù)的人自己編的后門程序。對于此類軟件要用專門的黑客程序清除軟件去檢查。

5.保持警惕性,對不熟悉的人發(fā)來的電子郵件不要輕易打開,帶有附件的就更要小心。另外,就算是熟人發(fā)來的E-MAIL,對其中的附件也要小心,因?yàn)楦腥灸抉R的主機(jī)可能會自動向當(dāng)前地址簿中的用戶列表發(fā)送垃圾郵件。

相信我們在對木馬的原理有了一定了解的前提下,預(yù)防木馬的目的是可以實(shí)現(xiàn)的。

參考文獻(xiàn):

[1]http://baike.baidu.com/view/931.htm.