吕秀鉴 贾永胜

[摘要]木马(Trojan)这个名字来源于古希腊传说,它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。因此,分析对木马的入侵方式、隐藏手段,并提出了一些预防措施。

[关键词]木马安全威胁预防

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1220041-01

木马的危害性在于它对电脑系统强大的控制和破坏能力,窃取密码、控制系统操作、进行文件操作等等,一个功能强大的木马一旦被植入你的机器,攻击者就可以像操作自己的机器一样控制你的机器,甚至可以远程监控你的所有操作。

一、木马的入侵途径

一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。攻击者在使用木马攻击系统时,第一步是要把木马的服务器端程序植入到被攻击的电脑里面。

目前木马入侵的主要途径是先通过一定的方法把木马执行文件复制到被攻击者的电脑系统里,如通过邮件、下载等途径,然后通过精心构造的提示误导被攻击者打开执行文件。一般的木马执行文件非常小,从几KB到几十KB不等,如果攻击者把木马捆绑到其它正常文件上,受害者很难发现,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,在受害者执行这些下载的文件,也同时运行了木马。

其次,木马可以通过Script、ActiveX及Asp、Cgi等交互脚本的方式植入,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行Web文件夹里面,他可以通过编制Cgi程序在被攻击主机上执行木马程序。

木马还可以利用系统的一些漏洞进行植入,如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序使目标IIS服务器崩溃,同时在被攻击服务器执行远程木马文件。

二、攻击者窃取受害主机信息的手段

木马在被植入攻击主机后,它一般会通过一定的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,这样攻击者有这些信息才能够与木马里应外合控制攻击主机。

在早期的木马里面,大多都是通过发送电子邮件的方式把入侵主机信息告诉攻击者,有一些木马文件干脆把主机所有的密码用邮件的形式通知给攻击者,这样攻击都就不用直接连接攻击主机即可获得一些重要数据,如攻击OICQ密码的GOP木马即是如此。

使用电子邮件的方式对攻击者来说并不是最好的选择,因为如果木马被发现,可以能过这个电子邮件的地址查出攻击者。还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。

三、木马隐藏的手段

在运行前,木马通常会将自己伪装成Txt、Html等常用文件的图标,这样很容易诱骗用户把它打开。在运行中,木马大多都以弹出某种欺骗性质的错误窗口使用户不起疑心,比如操作系统版本错误等等。木马在运行后需要自我销毁和隐藏,又分为两种类型,一种是随系统自动启动的,另一种附加或者捆绑在Windows系统或者其它应用程序上,或者干脆替代原文件。如果是前者,木马会把自己拷贝到windows系统目录夹下面一个隐蔽的地方,文件属性设为隐藏,执行后再删除自己。如果是后者,木马会寻找系统程序把自己捆绑或者替换到它们身上,这样用户运行这些系统程序的时候就会激活木马。

在win9X系统里面,简单的注册为系统进程即可以从任务栏里消失,但在windows2000系统里面,任何一个运行的进程都会在系统管理员权限下显示出来,并且可以直接关闭掉。在最新的一些木马里面,开始采用了先进的DLL陷进技术,DLL陷阱技术是一种针对DLL(动态链接库)的高级编程技术,编程者用木马文件替换系统原有的DLL文件,并对所有的函数调用进行过滤,对于正常的调用,使用函数转发器直接转发给被替换的原系统DLL,对于一些满足触发条件的情况,伪装的木马会执行一些相对应的破坏操作。

四、防治木马的方法

1.对于安装新的计算机系统,要注意及时进行系统漏洞扫描,并根据提示下载安装系统补丁,这样可以防止通过系统漏洞传播的恶意代码。

2.必须安装杀毒软件和个人防火墙,并及时升级。把个人防火墙设置好安全等级,防止未知程序向外传送数据。这样即使中了木马,当有程序要连线上网时,防火墙会有所提示,就有可能发现木马。此外,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。

3.如果使用IE浏览器,应该安装系统监控软件如卡上网助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。

4.不要运行来历不明的软件,即使通过一般反病毒软件的检查也不要轻易运行。现在的反病毒软件把特洛伊木马定性为病毒,但还有相当数量的木马是这些软件所不能检查出来的,尤其是一些有一定编程技术的人自己编的后门程序。对于此类软件要用专门的黑客程序清除软件去检查。

5.保持警惕性,对不熟悉的人发来的电子邮件不要轻易打开,带有附件的就更要小心。另外,就算是熟人发来的E-MAIL,对其中的附件也要小心,因为感染木马的主机可能会自动向当前地址簿中的用户列表发送垃圾邮件。

相信我们在对木马的原理有了一定了解的前提下,预防木马的目的是可以实现的。

参考文献:

[1]http://baike.baidu.com/view/931.htm.