特洛伊木馬的危害與防范

4/4特洛伊木馬的危害與防范特洛伊木馬的危害與防范

內(nèi)容

權(quán)限，如操作文件、修改注冊(cè)表、控制外設(shè)等。

木馬是一種后門程序，就象先前所說的，它進(jìn)去了，而且是你把它請(qǐng)進(jìn)去的，要怪也只能怪自己不小心，混進(jìn)去的希臘士兵打開了特洛伊的城門，木馬程序也會(huì)在你的系統(tǒng)打開一個(gè)“后門”，黑客們從這個(gè)被打開的特定“后門”進(jìn)入你的電腦，就可以隨心所欲地?cái)[布你的電腦了。黑客們通過木馬進(jìn)入你的電腦后能夠做什么呢？可以這樣說，你能夠在自己的電腦上做什么，他也同樣可以辦到。你能夠?qū)懳募部梢詫?，你能夠看圖片，他也可以看，他還可以得到你的隱私、密碼，甚至你鼠標(biāo)的每一下移動(dòng)，他都可以盡收眼底!而且還能夠控制你的鼠標(biāo)和鍵盤去做他想做的任何事，比如打開你珍藏的照片，然后在你面前將它永久刪除，或是冒充你發(fā)送電子郵件、進(jìn)行網(wǎng)上聊天、網(wǎng)上交易等活動(dòng)，危害十分嚴(yán)重。

二、木馬與病毒的區(qū)別

想到木馬，人們就想到病毒，這里要為木馬澄清一下，木馬確實(shí)被殺毒軟件認(rèn)為是病毒，但是，木馬本身不是病毒。反之，病毒也不是木馬。電腦病毒是破壞電腦里的資料數(shù)據(jù)，而木馬不一樣，木馬的作用是偷偷監(jiān)視別人的操作和竊取用戶信息，比如偷竊上網(wǎng)密碼、游戲賬號(hào)、股票賬號(hào)、網(wǎng)上銀行賬號(hào)等。過去，黑客編寫和傳播木馬的目的是為了窺探他人隱私或惡作劇，而當(dāng)前木馬已基本商業(yè)化，其目的直指目標(biāo)計(jì)算機(jī)中的有用信息，以撈取實(shí)際的利益，并且已經(jīng)形成了一條黑色產(chǎn)業(yè)鏈。著眼于竊取文件資料的木馬，以擺渡木馬為典型代表，其工作機(jī)制是能夠跨過內(nèi)外網(wǎng)之間的物理障礙，是各級(jí)涉密部門必須重點(diǎn)關(guān)注和防范的對(duì)象。

木馬程序雖然不是病毒，但它可以和最新病毒或是漏洞利用工具捆綁在一起使用。當(dāng)前，病毒和木馬在技術(shù)上相互借鑒，在功能上相互融合，在傳播上相互配合，有的程序同時(shí)具有木馬和病毒的特征，很多時(shí)候難以明確區(qū)分它到底是病毒還是木馬。病毒的傳播和木馬靈活的可控性結(jié)合起來(lái)，使得兩者混合而成的“怪胎”，具有更加嚴(yán)重的危害性。根據(jù)有關(guān)部門公布的資料顯示，2008年新增木馬達(dá)到100多萬(wàn)個(gè)，預(yù)計(jì)2010年的時(shí)候這個(gè)數(shù)量將達(dá)到千萬(wàn)以上。由于木馬威脅日趨嚴(yán)重，它已經(jīng)取代傳統(tǒng)病毒成為網(wǎng)絡(luò)安全的頭號(hào)大敵。加之木馬和病毒呈現(xiàn)一體化的趨勢(shì)，大多數(shù)反病毒廠商對(duì)木馬和病毒已經(jīng)不做嚴(yán)格區(qū)分，而是按照統(tǒng)一規(guī)則命名，并給予更高的關(guān)注。

殺毒軟件查殺木馬，多是根據(jù)木馬體內(nèi)的特征代碼來(lái)判斷。因此，在網(wǎng)絡(luò)應(yīng)用中，黑客常采用“偷梁換柱”的方法來(lái)保障木馬不被查殺，黑客將合法的程序代碼鑲嵌到木馬程序中來(lái)欺騙殺毒軟件，躲過殺毒軟件的查殺。盡管現(xiàn)在出現(xiàn)了越來(lái)越多的新版殺毒軟件，可以查殺一些木馬，但是不要認(rèn)為使用有名廠家的殺毒軟件電腦就絕對(duì)安全，稍微高明一點(diǎn)的木馬幾乎可以躲過絕大部分殺毒軟件的查殺?？梢赃@樣說，對(duì)于上網(wǎng)用戶而言，木馬永遠(yuǎn)是防不勝防的。

三、特洛伊木馬的發(fā)展

計(jì)算機(jī)世界的特洛伊木馬(Trojan)是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊Dos等特殊功能的后門程序。

第一代木馬：偽裝型病毒

這種病毒通過偽裝成一個(gè)合法性程序誘騙用戶上當(dāng)。世界上第一個(gè)計(jì)算機(jī)木

馬是出現(xiàn)在1986年的PC-Write木馬。它偽裝成共享軟件PC-Write的2.72版本（事實(shí)上，編寫PC-Write的Quicksoft公司從未發(fā)行過2.72版本），一旦用戶信以為真運(yùn)行該木馬程序，那么他的下場(chǎng)就是硬盤被格式化。在我剛剛上大學(xué)的時(shí)候，曾聽說我校一個(gè)前輩牛人在WAX機(jī)房上用BASIC作了一個(gè)登錄界面木馬程序，當(dāng)你把你的用戶ID，密碼輸入一個(gè)和正常的登錄界面一模一樣的偽登錄界面后后，木馬程序一面保存你的ID,和密碼，一面提示你密碼錯(cuò)誤讓你重新輸入，當(dāng)你第二次登錄時(shí)，你已成了木馬的犧牲品。此時(shí)的第一代木馬還不具備傳染特征。

第二代木馬：AIDS型木馬

繼PC-Write之后，1989年出現(xiàn)了AIDS木馬。由于當(dāng)時(shí)很少有人使用電子郵件，所以AIDS的就利用現(xiàn)實(shí)生活中的郵件進(jìn)行散播：給其他人寄去一封封含有木馬程序軟盤的郵件。之所以叫這個(gè)名稱是因?yàn)檐洷P中包含有AIDS和HIV疾病的藥品，價(jià)格，預(yù)防措施等相關(guān)信息。軟盤中的木馬程序在運(yùn)行后，雖然不會(huì)破壞數(shù)據(jù)，但是他將硬盤加密鎖死，然后提示受感染用戶花錢消災(zāi)?？梢哉f第二代木馬已具備了傳播特征（盡管通過傳統(tǒng)的郵遞方式）。

第三代木馬：網(wǎng)絡(luò)傳播性木馬

隨著Internet的普及，這一代木馬兼?zhèn)鋫窝b和傳播兩種特征并結(jié)合TCP/IP網(wǎng)絡(luò)技術(shù)四處泛濫。同時(shí)還有了兩個(gè)新特征，第一，添加了“后門”功能；第二，添加了擊鍵記錄功能；第三，有了視頻監(jiān)控和桌面監(jiān)控等功能。

四、特洛伊木馬的傳播方式（用戶如何中木馬的）

特洛伊木馬程序是通過偽裝來(lái)欺騙用戶安裝的，而那些帶有偽裝的木馬文件

是怎么傳播到受害者的計(jì)算機(jī)中去的呢?總結(jié)一下主要有以下幾種常見的路徑。

一是通過不良鏈接傳播。在一些網(wǎng)站、論壇、博客等信息發(fā)布平臺(tái)，黑客會(huì)故意散布一些用戶感興趣的鏈接，誘騙用戶訪問不良網(wǎng)站或點(diǎn)擊下載含有木馬的文件。

二是通過即時(shí)通信工具傳播。在MSN、等聊天過程中，一些套近乎的陌生人發(fā)送的文件中很可能含有木馬。

三是通過電子郵件傳播。黑客批量發(fā)送垃圾郵件，將木馬藏在郵件的附件中，收件人只要查看郵件就會(huì)中招?，F(xiàn)在的網(wǎng)絡(luò)間諜攻擊，手法越來(lái)越多樣，越來(lái)越隱蔽。有一家涉密單位的工作人員收到了所謂的“上級(jí)機(jī)關(guān)”發(fā)來(lái)的一封郵件，內(nèi)容是“病毒木馬檢測(cè)程序”。一看是自己人，來(lái)信又正好對(duì)路，工作人員沒有多想就打開信件，運(yùn)行程序，結(jié)果境外間諜機(jī)關(guān)的木馬一下植入了電腦中，原來(lái)這個(gè)所謂的“上級(jí)機(jī)關(guān)”是境外網(wǎng)絡(luò)間諜冒的名。像這樣的網(wǎng)絡(luò)間諜騙局花樣繁多，針對(duì)不同的對(duì)象會(huì)設(shè)計(jì)不同的欺騙形式。比如偽裝成被攻擊對(duì)象很需要且很可信的郵件，有時(shí)點(diǎn)擊右鍵甚至還會(huì)彈出諸如“無(wú)病毒"之類的提示來(lái)迷惑操。

四是通過下載網(wǎng)站傳播。一些非正規(guī)的網(wǎng)站以提供免費(fèi)軟件下載為名，將木馬捆綁在軟件中。當(dāng)用戶下載安裝這些經(jīng)過捆綁的軟件時(shí)，木馬也隨之被安進(jìn)了系統(tǒng)。

五是通過網(wǎng)頁(yè)瀏覽傳播。也就是當(dāng)前流行的“網(wǎng)頁(yè)掛馬"。如果說前幾種傳播途徑尚需要受害者“主動(dòng)”地安裝木馬，后者的工作原理是利用瀏覽器漏洞編寫帶有木馬的網(wǎng)頁(yè)，或者攻破其它知名網(wǎng)站后，在其網(wǎng)頁(yè)上掛上木馬，當(dāng)用戶瀏覽這些網(wǎng)頁(yè)后，瀏覽器會(huì)在后臺(tái)自動(dòng)下載木馬到目標(biāo)計(jì)算機(jī)中并加以運(yùn)行。

六是通過系統(tǒng)漏洞傳播。黑客利用所了解的操作系統(tǒng)或軟件漏洞及其特性在

網(wǎng)絡(luò)中傳播木馬，其原理和蠕蟲病毒如出一轍。

七是通過盜版軟件傳播。一些用戶在計(jì)算機(jī)中安裝的盜版操作系統(tǒng)，本身就帶有木馬，在這樣的系統(tǒng)中工作和上網(wǎng)，安全性自然得不到保障。當(dāng)前一些盜版的應(yīng)用軟件雖然打著免費(fèi)的旗號(hào)，但多數(shù)也不太“干凈”，要么附有廣告，要么帶有木馬或病毒。

很多保密單位的內(nèi)部工作網(wǎng)與互聯(lián)網(wǎng)是物理隔離的，但是有關(guān)部門做安全檢測(cè)時(shí)仍然從中發(fā)現(xiàn)了境外情報(bào)部門的木馬。調(diào)查表明，一個(gè)重要的途徑是擺渡攻擊，利用的是優(yōu)盤、移動(dòng)硬盤之類的移動(dòng)存儲(chǔ)介質(zhì)。境外間諜部門專門設(shè)計(jì)了各種各樣的擺渡木馬，并且搜集了大量我國(guó)保密單位工作人員的網(wǎng)址和郵箱，只要這些人當(dāng)中有聯(lián)網(wǎng)使用優(yōu)盤等移動(dòng)存儲(chǔ)介質(zhì)的，擺渡木馬就會(huì)悄悄植入移動(dòng)介質(zhì)。一旦這些人違反規(guī)定在內(nèi)部工作網(wǎng)的計(jì)算機(jī)上插入優(yōu)盤等移動(dòng)介質(zhì)，擺渡木馬立刻就會(huì)感染內(nèi)網(wǎng)，把保密資料下載到移動(dòng)介質(zhì)上。完成這樣的擺渡后，只要使用者再把這個(gè)介質(zhì)接入互聯(lián)網(wǎng)電腦，下載的情報(bào)就自動(dòng)傳到控制端的網(wǎng)絡(luò)間諜那里。擺渡木馬是一種間諜人員定制的木馬，隱蔽性、針對(duì)性很強(qiáng)，一般只感染特定的計(jì)算機(jī)，普通殺毒軟件和木馬查殺工具難以及時(shí)發(fā)現(xiàn)，對(duì)國(guó)家重要部門和涉密單位的、信息安全威脅巨大。

五、中了特洛伊木馬的征兆

1、在使用計(jì)算機(jī)的過程中如果發(fā)現(xiàn)：

2、計(jì)算機(jī)反應(yīng)速度變慢；

3、硬盤在不停地讀寫；

4、鼠標(biāo)鍵盤不聽使喚；

5、窗口突然被關(guān)閉；

6、新的窗口被莫名其妙地打開；

7、網(wǎng)絡(luò)傳輸指示燈一直在閃爍；

8、系統(tǒng)資源占用很多；

9、運(yùn)行了某個(gè)程序沒有反映；

10、在關(guān)閉某個(gè)程序時(shí)防火墻探測(cè)到有郵件發(fā)出……這些不正?，F(xiàn)象表明：用戶的計(jì)算機(jī)中了木馬病毒。

六、特洛伊木馬的防范

鑒于木馬危害的嚴(yán)重性，一旦感染，損失在所難免，而且新的變種層出不窮，因此，我們?cè)跈z測(cè)清除它的同時(shí)，更要注意采取措施來(lái)預(yù)防它，在平時(shí)，注意以下幾點(diǎn)能大大減少木馬的侵入。

1、不要下載、接收、執(zhí)行任何來(lái)歷不明的軟件或文件。在下載的時(shí)候需要特別注意，一般推薦去一些信譽(yù)比較高的站點(diǎn)，盡量使用正版軟件。在軟件安裝之前一定要用反病毒軟件檢查一下，建議用專門查殺木馬的軟件進(jìn)行檢查，確定無(wú)毒和無(wú)馬后再使用。

2、不要隨意打開來(lái)歷不明的郵件，即使是來(lái)自朋友的郵件也不要輕信，打開附件前必須經(jīng)過殺毒。

3、不要瀏覽不健康、不正規(guī)的網(wǎng)站，這些網(wǎng)站都是“網(wǎng)頁(yè)掛馬”的高發(fā)地帶，訪問這些網(wǎng)站如同“闖雷區(qū)"，非常危險(xiǎn)。

4、盡量少用共享文件夾。如果因工作等原因必須將電腦設(shè)置成共享，則最好單獨(dú)開一個(gè)共享文件夾，把所有需要共享的文件都放在這個(gè)共享文件夾中，注

意千萬(wàn)不要將系統(tǒng)目錄設(shè)置成共享。

5、安裝反病毒軟件和防火墻，最好再安裝一套專門的木馬防治軟件，并及時(shí)升級(jí)代碼庫(kù)。雖然普通防病毒軟件也能基本防治木馬，但查殺效率和效果趕不上專業(yè)的木馬防治軟件。

6、及時(shí)打上操作系統(tǒng)的補(bǔ)丁，并經(jīng)常升級(jí)常用的應(yīng)用軟件。不但操作系統(tǒng)存在漏洞，應(yīng)用軟件也存在漏洞，很多木馬就是通過這些漏洞來(lái)進(jìn)行攻擊的，微軟公司發(fā)現(xiàn)這些漏洞之后都會(huì)在第一時(shí)間內(nèi)發(fā)布補(bǔ)丁，很多時(shí)候打過補(bǔ)丁之后的系統(tǒng)本身就是一種最好的木馬防范辦法。

當(dāng)反病毒軟件發(fā)出木馬警告或懷疑系統(tǒng)有木馬時(shí)，應(yīng)盡快采取措施，減少損失。第一步，要馬上拔掉網(wǎng)線，斷開控制端對(duì)目標(biāo)計(jì)算機(jī)的連接控制。第二步，換一臺(tái)計(jì)算機(jī)上網(wǎng)，馬上更改所有的賬號(hào)和密碼，特別是與工作密切相關(guān)的應(yīng)用軟件、網(wǎng)上銀行、電子郵箱等，凡是需要輸入密碼的地方，都要盡快變更密碼。第三步，備份被感染計(jì)算機(jī)上的