特洛伊木馬病毒攻擊與防護(hù)

特洛伊木馬病毒攻擊與防護(hù)

“特洛伊木馬”簡(jiǎn)稱特洛伊木馬。他的英文名字叫特洛伊木馬。它的名字來源于史詩《哈馬》的故事。希臘軍隊(duì)包圍了特洛伊城，但長期未能征服它。此后，士兵們躲在巨大的特洛伊木馬中，混入城市，最終燒毀并屠殺了特洛伊城。后世稱這只大木馬為“特洛伊木馬”。如今黑客程序借用其名,有“一經(jīng)潛入,后患無窮”之意。完整的木馬程序一般由兩個(gè)部份組成:一個(gè)是服務(wù)器程序,一個(gè)是控制器程序?！爸辛四抉R”就是指安裝了木馬的服務(wù)器程序,若你的電腦被中了木馬程序后,電腦上的各種文件、程序,以及在你電腦上使用的帳號(hào)、密碼就無安全可言了。例如“工行釣魚木馬”病毒運(yùn)行后,會(huì)監(jiān)視微軟IE瀏覽器正在訪問的網(wǎng)頁,當(dāng)用戶輸入自己的帳戶號(hào)和密碼,隨之就會(huì)被盜取。一、木馬的功能特點(diǎn)木馬是一種惡意程序,它們悄悄地在宿主機(jī)器上運(yùn)行,就在用戶毫無察覺的情況下,讓攻擊者獲得了遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限。大多數(shù)木馬都模仿一些正規(guī)的遠(yuǎn)程控制軟件的功能,如Symantec的pcAnywhere,但木馬也有一些明顯的特點(diǎn),例如它的安裝和操作都是在隱蔽之中完成。攻擊者經(jīng)常把木馬隱藏在一些游戲,圖片,免費(fèi)軟件,郵件之中,誘使一些用戶在自己的機(jī)器上運(yùn)行。只要用戶一運(yùn)行軟件,木馬服務(wù)器部分就在用戶毫無知覺的情況下完成了安裝過程。木馬的服務(wù)器部分都是可以定制的,攻擊者可以定制的項(xiàng)目一般包括:服務(wù)器運(yùn)行的IP端口號(hào),程序啟動(dòng)時(shí)機(jī),如何發(fā)出調(diào)用,如何隱身,是否加密等。二、使用遠(yuǎn)程控制的能力首先,木馬具有記錄鍵擊等事件的能力,這意味著攻擊者能夠竊取用戶的密碼、目錄路徑、驅(qū)動(dòng)器映射,甚至醫(yī)療記錄、銀行帳戶和信用卡等重要信息。其次,如果一個(gè)未經(jīng)授權(quán)的用戶掌握了遠(yuǎn)程控制宿主機(jī)器的能力,宿主機(jī)器就變成了強(qiáng)大的攻擊武器。遠(yuǎn)程攻擊者不僅擁有了隨意操控PC本身資源的能力,而且還能夠冒充PC合法用戶。三、用戶(用戶)配置常見的木馬,例如BackOrifice和SubSeven等,都是多用途的攻擊工具包,功能非常全面,包括捕獲屏幕、聲音、視頻內(nèi)容的功能。這些木馬可以當(dāng)作鍵記錄器、遠(yuǎn)程控制器、FTP、HTTP、Telnet服務(wù)器,還能夠?qū)ふ液透`取密碼。攻擊者可以配置木馬監(jiān)聽的端口、運(yùn)行方式,以及木馬是否通過e-mail、IRC或其他通信手段聯(lián)系發(fā)起攻擊的人。一些危害大的木馬還有一定的反偵測(cè)能力,能夠采取各種方式隱藏自身,加密通信,甚至提供了專業(yè)級(jí)的API供其它攻擊者開發(fā)附加的功能。有一些木馬功能比較單一,如鍵盤記錄器木馬,它們把受害用戶的每一個(gè)鍵擊事件記錄下來,保存到某個(gè)隱藏的文件,這樣攻擊者就可以下載文件分析用戶的操作了。還有一些木馬具有FTP、Web或聊天服務(wù)器的功能,它只用來竊取難以獲得的初始遠(yuǎn)程控制能力,保障最初入侵行動(dòng)的安全,以便在不太可能引起注意的適當(dāng)時(shí)機(jī)完成上傳和安裝。今年7月10日,江民科技發(fā)布了2006年上半年十大病毒排行,其中多數(shù)都是木馬病毒,下面我們就來看看兩種最流行的木馬:1、系統(tǒng)實(shí)現(xiàn)功能Backdoor/Huigezi,“灰鴿子”變種cm是一個(gè)未經(jīng)授權(quán)遠(yuǎn)程訪問用戶計(jì)算機(jī)的后門?！盎银澴印弊兎Ncm運(yùn)行后,自我復(fù)制到系統(tǒng)目錄下。修改注冊(cè)表,實(shí)現(xiàn)開機(jī)自啟。偵聽黑客指令,記錄鍵擊,盜取用戶機(jī)密信息,例如用戶撥號(hào)上網(wǎng)口令,URL密碼等。利用掛鉤API函數(shù)隱藏自我,防止被查殺。另外,“灰鴿子”變種cm可下載并執(zhí)行特定文件,發(fā)送用戶機(jī)密信息給黑客等。2、帳號(hào)密碼的木馬程序Trojan/PSW.Lmir,傳奇竊賊是專門竊取網(wǎng)絡(luò)游戲“傳奇2”登錄帳號(hào)密碼的木馬程序。運(yùn)行后,主程序文件自己復(fù)制到系統(tǒng)目錄下。修改注冊(cè)表,實(shí)現(xiàn)開機(jī)自啟。終止某些防火墻、殺毒軟件進(jìn)程。病毒進(jìn)程被終止后,會(huì)自動(dòng)重啟,竊取“傳奇2”帳號(hào)密碼,并將盜取的信息發(fā)送給黑客。四、檢測(cè)木馬的一般程序要反擊惡意代碼,最佳的武器是最新的、成熟的病毒掃描防火墻工具。掃描工具能夠檢測(cè)出大多數(shù)木馬,并盡可能地使清理過程自動(dòng)化。木馬入侵的一個(gè)明顯證據(jù)是受害機(jī)器上意外地打開了某個(gè)端口。一旦發(fā)現(xiàn)有木馬入侵的證據(jù),應(yīng)當(dāng)盡快切斷該機(jī)器的網(wǎng)絡(luò)連接,減少攻擊者探測(cè)和進(jìn)一步攻擊的機(jī)會(huì)。打開任務(wù)管理器,關(guān)閉所有連接到Internet的程序,從系統(tǒng)上關(guān)閉所有正在運(yùn)行的程序。注意暫時(shí)不要啟動(dòng)到安全模式,啟動(dòng)到安全模式通常會(huì)阻止木馬裝入內(nèi)存,為檢測(cè)木馬帶來困難。總之,木馬造成的危害程度越來越嚴(yán)重,直接危害到我國政府機(jī)關(guān)和企業(yè)的網(wǎng)絡(luò)安全,使用者應(yīng)深入了解木馬的運(yùn)行原理,在此基礎(chǔ)上采取正確的防衛(wèi)措施,有效減少木馬帶來的危害。多數(shù)操作系統(tǒng),都帶有檢測(cè)IP網(wǎng)絡(luò)狀態(tài)的Netstat工具,它能夠顯示出本地機(jī)器上所有活動(dòng)的監(jiān)聽端口(包括UDP和TCP)。打開一個(gè)命令行窗口,執(zhí)行“Netstat-a”命令就可以顯示出本地機(jī)器上所有打開的IP端口,注意一下是否存在意外打開的端口。但Netstat命令有一個(gè)缺點(diǎn),它能夠顯示出哪些IP端口已經(jīng)激活,但卻沒有顯示出哪些程序或文件激活了這些端口。要找出哪個(gè)執(zhí)行文件創(chuàng)建了哪個(gè)網(wǎng)絡(luò)連接,必須使用端口枚舉工具,例如,WinternalsSoftware的TCPViewProfessionalEdition就是一個(gè)優(yōu)秀的端口枚舉工具。Tauscan除了能夠識(shí)別木馬,也能夠建立程序與端口的聯(lián)系。另外,XP的Netstat工具提供了一個(gè)新的參數(shù)選項(xiàng),能夠顯示出正在使用端口的程序或服務(wù)的進(jìn)程標(biāo)識(shí)符(PID),有了PID,用任務(wù)管理器就可以方便地根據(jù)PID找到對(duì)應(yīng)的程序。如果手頭沒有端口檢測(cè)工具,無法快速找出幕后肇事者的真正身份,請(qǐng)按照下列步驟操作:尋找自動(dòng)啟動(dòng)的陌生程序,查找位置包括注冊(cè)表、.ini文件、啟動(dòng)文件夾等。然后將機(jī)器重新啟動(dòng)進(jìn)入安全模式,可能的話,用Netstat命令確認(rèn)一下木馬尚未裝入內(nèi)存。接下來,分別運(yùn)行前面找出的各個(gè)有疑問的程序,每次運(yùn)行一個(gè),分別用Netstat命令檢查新打開的端口。如果某個(gè)程序初始化了一個(gè)Internet連接,那就要特別小心了。深入研究一下所有可疑的程序,刪除所有不能信任的軟件。Netstat命令和端口枚舉工