特洛伊木马病毒攻击与防护

特洛伊木马病毒攻击与防护

“特洛伊木马”简称特洛伊木马。他的英文名字叫特洛伊木马。它的名字来源于史诗《哈马》的故事。希腊军队包围了特洛伊城，但长期未能征服它。此后，士兵们躲在巨大的特洛伊木马中，混入城市，最终烧毁并屠杀了特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名,有“一经潜入,后患无穷”之意。完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被中了木马程序后,电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。例如“工行钓鱼木马”病毒运行后,会监视微软IE浏览器正在访问的网页,当用户输入自己的帐户号和密码,随之就会被盗取。一、木马的功能特点木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。大多数木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把木马隐藏在一些游戏,图片,免费软件,邮件之中,诱使一些用户在自己的机器上运行。只要用户一运行软件,木马服务器部分就在用户毫无知觉的情况下完成了安装过程。木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密等。二、使用远程控制的能力首先,木马具有记录键击等事件的能力,这意味着攻击者能够窃取用户的密码、目录路径、驱动器映射,甚至医疗记录、银行帐户和信用卡等重要信息。其次,如果一个未经授权的用户掌握了远程控制宿主机器的能力,宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力,而且还能够冒充PC合法用户。三、用户(用户)配置常见的木马,例如BackOrifice和SubSeven等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。这些木马可以当作键记录器、远程控制器、FTP、HTTP、Telnet服务器,还能够寻找和窃取密码。攻击者可以配置木马监听的端口、运行方式,以及木马是否通过e-mail、IRC或其他通信手段联系发起攻击的人。一些危害大的木马还有一定的反侦测能力,能够采取各种方式隐藏自身,加密通信,甚至提供了专业级的API供其它攻击者开发附加的功能。有一些木马功能比较单一,如键盘记录器木马,它们把受害用户的每一个键击事件记录下来,保存到某个隐藏的文件,这样攻击者就可以下载文件分析用户的操作了。还有一些木马具有FTP、Web或聊天服务器的功能,它只用来窃取难以获得的初始远程控制能力,保障最初入侵行动的安全,以便在不太可能引起注意的适当时机完成上传和安装。今年7月10日,江民科技发布了2006年上半年十大病毒排行,其中多数都是木马病毒,下面我们就来看看两种最流行的木马:1、系统实现功能Backdoor/Huigezi,“灰鸽子”变种cm是一个未经授权远程访问用户计算机的后门。“灰鸽子”变种cm运行后,自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗取用户机密信息,例如用户拨号上网口令,URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外,“灰鸽子”变种cm可下载并执行特定文件,发送用户机密信息给黑客等。2、帐号密码的木马程序Trojan/PSW.Lmir,传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启,窃取“传奇2”帐号密码,并将盗取的信息发送给黑客。四、检测木马的一般程序要反击恶意代码,最佳的武器是最新的、成熟的病毒扫描防火墙工具。扫描工具能够检测出大多数木马,并尽可能地使清理过程自动化。木马入侵的一个明显证据是受害机器上意外地打开了某个端口。一旦发现有木马入侵的证据,应当尽快切断该机器的网络连接,减少攻击者探测和进一步攻击的机会。打开任务管理器,关闭所有连接到Internet的程序,从系统上关闭所有正在运行的程序。注意暂时不要启动到安全模式,启动到安全模式通常会阻止木马装入内存,为检测木马带来困难。总之,木马造成的危害程度越来越严重,直接危害到我国政府机关和企业的网络安全,使用者应深入了解木马的运行原理,在此基础上采取正确的防卫措施,有效减少木马带来的危害。多数操作系统,都带有检测IP网络状态的Netstat工具,它能够显示出本地机器上所有活动的监听端口(包括UDP和TCP)。打开一个命令行窗口,执行“Netstat-a”命令就可以显示出本地机器上所有打开的IP端口,注意一下是否存在意外打开的端口。但Netstat命令有一个缺点,它能够显示出哪些IP端口已经激活,但却没有显示出哪些程序或文件激活了这些端口。要找出哪个执行文件创建了哪个网络连接,必须使用端口枚举工具,例如,WinternalsSoftware的TCPViewProfessionalEdition就是一个优秀的端口枚举工具。Tauscan除了能够识别木马,也能够建立程序与端口的联系。另外,XP的Netstat工具提供了一个新的参数选项,能够显示出正在使用端口的程序或服务的进程标识符(PID),有了PID,用任务管理器就可以方便地根据PID找到对应的程序。如果手头没有端口检测工具,无法快速找出幕后肇事者的真正身份,请按照下列步骤操作:寻找自动启动的陌生程序,查找位置包括注册表、.ini文件、启动文件夹等。然后将机器重新启动进入安全模式,可能的话,用Netstat命令确认一下木马尚未装入内存。接下来,分别运行前面找出的各个有疑问的程序,每次运行一个,分别用Netstat命令检查新打开的端口。如果某个程序初始化了一个Internet连接,那就要特别小心了。深入研究一下所有可疑的程序,删除所有不能信任的软件。Netstat命令和端口枚举工