當(dāng)今網(wǎng)絡(luò)時(shí)代木馬病毒及其防范措施

劉紅艷

文章編號：1672-5913(2009)10-0182-02

摘 要：當(dāng)前，黑客利用加殼等技術(shù)手段使“工業(yè)化生產(chǎn)病毒”成為趨勢，只要從網(wǎng)上下載加殼工具，就可以自動生產(chǎn)出病毒。而具有越來越明顯盜竊特性的木馬類病毒將更易給受害者造成直接損失。本文闡述了我國木馬病毒的發(fā)展現(xiàn)狀及特點(diǎn)，探討了防范此類病毒的具體措施。

關(guān)鍵詞：木馬；病毒；安全防范

中圖分類號：G642

文獻(xiàn)標(biāo)識碼：A

目前，病毒產(chǎn)業(yè)鏈越來越完善，從病毒程序開發(fā)、傳播病毒到銷售病毒，形成了分工明確的整條操作流程。黑客利用電腦病毒竊取的個(gè)人資料從QQ密碼、網(wǎng)游密碼到銀行賬號、信用卡帳號等等，包羅萬象，任何可以直接或間接轉(zhuǎn)換成金錢的東西，都成為黑客竊取的對象。通過分工明確的產(chǎn)業(yè)化操作，每天有數(shù)百甚至上千種病毒被制造出來，其中大部分是木馬和后門病毒，占到全球該類病毒的三分之一左右。

1認(rèn)識木馬病毒

木馬病毒是指寄生于用戶計(jì)算機(jī)系統(tǒng)中，盜竊用戶信息，并通過網(wǎng)絡(luò)發(fā)送給木馬設(shè)計(jì)者的病毒程序。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶端(Client)，即控制端，另一個(gè)是服務(wù)端(Server)，即被控制端?？蛻舳顺绦蛴糜谶h(yuǎn)程控制計(jì)算機(jī)；而服務(wù)端程序，則隱藏到遠(yuǎn)程計(jì)算機(jī)中，接收并執(zhí)行客戶端程序發(fā)出的命令。所以當(dāng)黑客通過網(wǎng)絡(luò)控制一臺遠(yuǎn)程計(jì)算機(jī)時(shí)，第一步就需要將服務(wù)端程序植入到遠(yuǎn)程計(jì)算機(jī)。為了能夠讓用戶執(zhí)行木馬程序，黑客常常通過各種方式對它進(jìn)行偽裝。木馬的服務(wù)一旦運(yùn)行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動、復(fù)制、刪除文件，修改注冊表，更改計(jì)算機(jī)配置等。

2幾種常見的木馬病毒

(1) 反彈端口型木馬：木馬開發(fā)者分析了防火墻的特性后，發(fā)現(xiàn)防火墻對于連入的鏈接會進(jìn)行非常嚴(yán)格的過濾，但是對于連出的鏈接卻疏于防范。于是，與一般的木馬相反，反彈端口型木馬的服務(wù)端(被控制端)使用主動端口，客戶端(控制端) 使用被動端口。

(2) 信息竊取型/密碼發(fā)送型：這種木馬可以找到目標(biāo)機(jī)的隱藏密碼，并且在受害者不知道的情況下，把它們發(fā)送到指定的信箱。

(3) 鍵盤記錄木馬：這種木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。這種木馬隨著Windows 的啟動而啟動。

(4) 遠(yuǎn)程控制型：這種木馬是現(xiàn)在使用最廣泛的木馬，它可以遠(yuǎn)程訪問被攻擊者的硬盤。只要有人運(yùn)行了服務(wù)端程序，客戶端通過掃描等手段知道了服務(wù)端的IP地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制。

(5)FTP木馬：這種木馬可能是最簡單和古老的木馬，它的唯一功能就是打開21端口，等待用戶連接。

(6) 程序殺手木馬：上面列舉的木馬功能雖然形形色色，要想在對方機(jī)器上發(fā)揮自己的作用，須繞過防木馬軟件。程序殺手木馬的功能就是關(guān)閉對方機(jī)器上運(yùn)行的這類程序，讓其他木馬更好地發(fā)揮作用。

(7) 破壞型：唯一的功能就是破壞并且刪除文件。可以自動的刪除電腦上的DLL、INI、EXE文件。

(8) 代理木馬：用戶感染代理類木馬后，會在本機(jī)開啟HTTP、SOCKS等代理服務(wù)功能。黑客把受感染計(jì)算機(jī)作為跳板，以被感染用戶的身份進(jìn)行黑客活動，達(dá)到隱藏自己的目的。

3木馬病毒的傳播途徑

(1) 通過E-mail：早期的木馬，大多是通過發(fā)送電子郵件的方式把入侵主機(jī)信息告訴攻擊者，有一些木馬程序干脆把主機(jī)所有的密碼用郵件的形式通知給攻擊者，這樣攻擊者就不用直接連接攻擊主機(jī)即可獲得一些重要數(shù)據(jù)，如攻擊OICQ密碼的GOP木馬。由控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開附件就會感染木馬。

(2) 通過軟件下載：一些非正規(guī)的網(wǎng)站以提供軟件下載為名，將木馬捆綁在軟件安裝程序上，下載后，只要運(yùn)行這些程序，木馬就會被自動安裝了。

(3) 通過Script、ActiveX及ASP、CGI交互腳本的方式植入：由于IE 瀏覽器在執(zhí)行Script腳本上存在安全漏洞，因此，木馬就可以利用這些漏洞很容易植入被攻擊的電腦。

(4) 利用一些系統(tǒng)漏洞植入，如著名的IIS服務(wù)器溢出漏洞：通過一個(gè)IISHACK 攻擊程序使IIS服務(wù)器崩潰，同時(shí)在服務(wù)器上執(zhí)行木馬程序，從而植入木馬。

(5) 通過移動存儲設(shè)備(U盤等)：主要是依賴微軟操作系統(tǒng)Windows的Autorun(自動運(yùn)行)功能，使得計(jì)算機(jī)用戶在雙擊打開U盤的時(shí)候，自動執(zhí)行木馬程序，進(jìn)而感染計(jì)算機(jī)系統(tǒng)。

4木馬病毒的防范措施

木馬病毒越來越隱蔽，破壞性也越來越大，給人們的日常工作和生活甚至是國家安全都帶來了巨大的影響。木馬實(shí)質(zhì)上是一個(gè)程序，必須運(yùn)行后才能工作，所以肯定會在電腦中留下珠絲馬跡，我們可以從“防、查、堵、殺”四方面入手。

4.1防

必須在思想上引起高度的重視，增強(qiáng)安全意識，防患于未然。

(1) 增強(qiáng)防范意識

安裝專業(yè)的防毒軟件及時(shí)升級到最新版本，并打開實(shí)時(shí)監(jiān)控程序；安裝帶有“木馬墻”功能的個(gè)人防火墻軟件，防止密碼丟失。打開防病毒軟件的“系統(tǒng)監(jiān)控”功能，從注冊表、系統(tǒng)進(jìn)程、內(nèi)存、網(wǎng)絡(luò)等多方面對各種操作進(jìn)行主動防御，達(dá)到全方位保護(hù)計(jì)算機(jī)系統(tǒng)安全的目的。養(yǎng)成良好的上網(wǎng)習(xí)慣，盡量從大規(guī)模門戶網(wǎng)站或官方網(wǎng)站瀏覽信息，不隨意登陸不明網(wǎng)站及不規(guī)范網(wǎng)站。不要隨便打開來歷不明的郵件附件或點(diǎn)擊陌生郵件的網(wǎng)頁鏈接。在瀏覽互聯(lián)網(wǎng)時(shí)，若以微軟IE為核心的瀏覽器上網(wǎng)，則要隨時(shí)關(guān)注微軟官方網(wǎng)站，及時(shí)升級補(bǔ)丁程序。

(2) 網(wǎng)站管理需更加嚴(yán)格

針對目前大量網(wǎng)站攜帶木馬病毒，甚至公開販賣病毒的現(xiàn)象，應(yīng)加大網(wǎng)站管理力度，力爭從源頭阻擊木馬病毒，使之沒有擴(kuò)散的機(jī)會，是防范網(wǎng)頁木馬的根本。

4.2查

(1) 檢查系統(tǒng)進(jìn)程

大部分木馬運(yùn)行后會顯示在進(jìn)程管理器中，所以對系統(tǒng)進(jìn)程列表進(jìn)行分析和過濾，可以發(fā)現(xiàn)可疑程序。特別是利用與正常進(jìn)程的CPU資源占用率和句柄數(shù)的比較，發(fā)現(xiàn)異常現(xiàn)象。

(2) 檢查ini文件

木馬可在Win.ini和System.ini的“run=”、“l(fā)oad=”、“shell=”后面加載，如果這些選項(xiàng)后面加載程序是你不認(rèn)識的，就有可能是木馬。

(3) 檢查注冊表

木馬為了能夠在開機(jī)后自動運(yùn)行，往往在注冊表中添加注冊表項(xiàng)。一般來說，木馬在注表中實(shí)現(xiàn)加載文件一般是在以下等處：HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值；HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion下所有以“run”開頭的鍵值；HKEY_USERS. DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值。此外在注冊表中的HKEY_CLASSES_ ROOTexefileshellopencommand=””%1”%*”處，如果其中的“%1”被修改為木馬，那么每次啟動一個(gè)該可執(zhí)行文件時(shí)木馬就會啟動一次，例如著名的冰河木馬就是將TXT文件的Notepad.exe改成了它自己的啟動文件，每次打開記事本時(shí)就會自動啟動冰河木馬，做得非常隱蔽。

(4) 檢查啟動組

啟動組也是木馬藏身的好地方。啟動組對應(yīng)的文件夾為：C:windowsstartmenuprogramsstartup，在注冊表中的位置：HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorerShellFolders Startup=“C:windows startmenuprogramsstartup”。檢查是否有可疑的啟動程序，便很容易查到是否中了木馬。

(5) 檢查端口

遠(yuǎn)程控制型木馬以及輸出shell型木馬，大都會在系統(tǒng)中監(jiān)聽某個(gè)端口，接收從控制端發(fā)來的命令，并執(zhí)行。通過檢查系統(tǒng)上開啟的一些“奇怪”的端口，從而發(fā)現(xiàn)木馬的蹤跡。在命令行中輸入netstat -na，可以清楚地看到系統(tǒng)打開的端口和連接。

4.3堵

(1) 堵住控制通路

通過禁用網(wǎng)絡(luò)連接或拔掉網(wǎng)絡(luò)，可以完全避免遠(yuǎn)端計(jì)算機(jī)通過網(wǎng)絡(luò)對你的控制。當(dāng)然，亦可以通過設(shè)置防火墻應(yīng)用規(guī)則或過濾UDP、TCP、ICMP端口。

(2) 堵安全漏洞

Windows操作系統(tǒng)，特別是IE瀏覽器的安全漏洞頻出，無疑給木馬傳播打開方便之門。及時(shí)安裝Windows安全更新，多安裝一個(gè)微軟的安全更新程序，就能有效免疫相當(dāng)一部分網(wǎng)頁木馬。將常用的第三方軟件(例如RealPlayer，暴風(fēng)影音、迅雷、聯(lián)眾世界等)及時(shí)升級到最新版本，也可以在一定程度上降低威脅。因此，我們要養(yǎng)成打補(bǔ)丁的習(xí)慣，對切斷木馬病毒的傳播途徑將具有極好的效果。

4.4殺

(1) 使用木馬查殺軟件

用戶系統(tǒng)要安裝木馬查殺軟件，實(shí)際上一般的普通殺毒軟件里都包含了對木馬的查殺功能。對于查殺軟件，一定要經(jīng)常升級，不斷更新木馬代碼庫里的數(shù)據(jù)，并通過病毒公告及時(shí)了解新木馬的預(yù)防和查殺絕技。

(2) 手工刪除

對于一些可疑文件，不能立即刪除，因?yàn)橛锌赡苡捎谡`刪系統(tǒng)文件而使計(jì)算機(jī)不能正常工作。首先備份可疑文件和注冊表，接著用Ultraedit32編輯器查看文件首部信息，通過可疑文件里面的明文字符對木馬有一個(gè)大致了解。最后，刪除木馬文件及注冊表中的鍵值。

5結(jié)束語

總之，我們要從習(xí)慣、意識、工具、機(jī)制等四個(gè)層面上確保網(wǎng)絡(luò)安全，防止出現(xiàn)信息“泄密”。

參考文獻(xiàn)：

[1] 張友生,米安然.計(jì)算機(jī)病毒與木馬程序剖析[M]. 北京:北京科海電子出版社,2003.

[2] 馬宜興.網(wǎng)絡(luò)安全與病毒防范[M].上海:上海交通大學(xué)出版社,2005.

Talking about the Trojan-Horse and the Defensive Measures in the Internet Age

LIU Hong-yan

(Doumen Radio &TV University，Zhuhai 519100, China )

Abstract: Presently, it become the tendency that hackers produce viruses in industrialization by the technical methods of the addition shell, and viruses may be producted automatically as long as the shell tool will be downloaded from the net. Trojan-horse virus that has more and more obvious burglary characteristic changes to create loses directly to the victim. This article elaborated the present situation and characteristics on our country Trojan-horse virus development, and discussed the specific safety defensive measures against the kind of viruses.

Key words: Trojan-horse; virus; safety defensive measures