論“肉雞”木馬的機理與防范

郭福洲

[摘要]針對因遭受木馬病毒而受制于人的計算機——“肉雞”這一信息社會現象由表及里,從木馬病毒的本質、機理、客觀存在的原因進行探究,并對木馬病毒的防范策略與方法進行剖析與探索。

[關鍵詞]肉雞木馬網絡黑客計算機信息

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1220047-02

近來以央視為首的新聞媒體和許多知名網站曝光了黑客利用木馬進行“肉雞”攻擊的全過程,觸目驚心的他人隱私信息的顯示以及黑客駭人聽聞的供詞,使得對網絡已產生極強依賴性的不免心生恐懼與不安?！叭怆u”又叫肉機,即懷有不法動機的電腦黑客,利用網絡系統信息傳輸為途徑,借用戶在網絡軟件應用時在用戶機器上植入木馬,達到遠程操控用戶計算機,獲取網絡用戶有價值的賬戶、密碼和文件與數據等個人有價值信息。本文將就“肉雞”木馬的本質、生存背景和防范辦法進行分析與論述。

一、“肉雞”木馬的本質

“肉雞”軟件從本質上應界定為是木馬程序,什么是“木馬”?“木馬”全稱是“特洛伊木馬(Trojan Horse)”,原指古希臘士兵藏在木馬內進入敵方城市從而占領敵方城市的故事。在Internet上,“特洛伊木馬”指一些程序設計人員在其可從網絡上下載(Download)的應用程序或游戲中,包含了可以控制用戶的計算機系統的程序,可能造成用戶的系統被破壞甚至癱瘓。其本質用于網絡監控,但網絡黑客出于以不法手段獲取他人利益,造成與其本質用途相形見遠。

“肉雞”木馬入侵網絡節點,必須獲取3個參數:網絡節點的IP(即受侵用戶計算機的互聯網端口地址)、用戶名、密碼。木馬程序大多利用webshell作為web入侵的腳本攻擊工具。webshell是采用asp或php技術所設計的網站或網頁的后門,黑客在入侵了一個網站后,常常在將這些asp或php木馬后門文件放置在網站服務器的web目錄中,與正常的網頁文件混在一起。然后黑客就可以用web的方式,通過asp或php木馬后門控制網站服務器,包括上傳下載文件、查看數據庫、執行任意程序命令等。

Webshell管理的后門,即本地計算機與外界通訊的端口,一臺計算機有65535個端口,如果視計算機為一幢建筑,那么65535個端口即可看做是計算機與外界連接所開設65535出入口。每個出入口均可開設與一種服務。如25端口:為SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議)服務器所開放,主要用于發送郵件;80端口:為HTTP(Hyper

Text Transport Protocol,超文本傳輸協議)開放,主要用于在WWW(World Wide Web,萬維網)服務上傳輸信息的協議。理論上,很多端口都該是關閉著的,但由于計算機操作人員技術水平的局限性,不能關閉操作系統默認開放的端口各種原因,很多端口默認都是開啟的,由于大多數用戶計算機管理操作水平有限,于是就有好事者進入,主人的隱私信息及重要的有價值文件數據被刺探,不堪其擾。

二、“肉雞”木馬肆虐的原因與取向

黑客、病毒制作者與傳播販賣者們為什么熱衷于獲取他人電腦的控制權?炫耀其計算機技術水平僅在其次,更深層次的原因是通過不法手段,不勞而獲奪取他人的金錢資產與文件數據價值。具體可分類為:

(一)盜竊“肉雞”機器用戶的真實財產

網絡商業用途的開發,使得如網上銀行、網上炒股、網上期貨證券交易等電子商務項目建設迅速發展崛起,在帶給人民理財便捷的同時,新的信息安全問題與由此所產生的糾紛案例也接踵而來。由于在網絡真實財產包括網上銀行,可以進行網上金額支付與轉帳,一旦用戶的網銀帳號被盜,即笑話為別人的消費買單。此外,還有網上炒股、證券交易之類的軟件也一樣也難免在軟件設計被別有用心之人找出漏洞并利用木馬或病毒程序乘虛而入,輕易獲得取帳號與密碼。

(二)盜竊“肉雞”電腦的虛擬財產

網絡游戲已是益也為人們在緊張工作之余休閑的一種生活方式。然而更多的知名的網絡游戲均需付費購置網絡游戲虛擬財產。如網絡游戲ID帳號裝備、QQ號里的Q幣、聯眾的虛擬榮譽值等等。虛擬財產是可以兌現為真實貨幣的,積累起來就是財富。游戲參與者的浩大與有利可圖,加之游戲者疏于防范與信息安全意識與監控水平有限,也是黑客借此生財之道的根源。

(三)盜竊他人的隱私數據

網絡作為一把雙刃劍,在給人們帶來繁榮、便利的同時,也存在很多不安全的因素。特別是網絡的公開性和易窺竊性很容易使人們的隱私暴露于天下,個人隱私面臨著嚴重的威脅。利用偷來的受害人隱私信息進行詐騙、勒索的案例也屢見不鮮。黑客通過軟件侵入他人電腦,使之成為“肉雞”,借機窺探他人隱私,尤其是他人的負面隱私,以達到宣泄個人自己壓抑的欲望、憎恨或期待,尤其是那些性隱私被曝光的人身上,借著別人的身體,依靠自己的想象,在意念上發泄自己的性欲和攻擊欲,在心理上得到報復性或勝利的滿足。給他人在精神、名譽、肖像權以及家庭社會影響力上等多個方面帶來不可估量的傷害。以“艷照門”事件為例,姑且不論他人在個人的道德及其隱私是否應受到法律制裁,單就未經法律程序或他人允許,而非法散布他人隱私信息,在社會及人們道德與法律的界定上,都是令人不齒的。此外,攻擊者還熱衷于遠程控制別人的攝像頭,滿足偷窺他人隱私的邪惡目的。

(四)盜取他人QQ號碼來獲取非法利益

網絡聊天工具已成為人們人際關系聯系一種方式,黑客通過木馬程序獲取“肉雞”機器上的QQ號以后,可以通過你的QQ等級、QQ秀、Q幣等轉賣等獲取錢財,也可以將盜得的QQ號碼進行“銷售”?；蛘呃檬芎θ藗€人資料人脈關系進行詐騙獲取非法利益。更有甚者,明目張膽地向被盜號者勒索。黑客一旦獲取你的QQ號碼與密碼后,你的QQ好友,你的Email聯系人,手機聯系人,都是攻擊者的目標,攻擊者可以偽裝成你的身份進行各種不法活動,每個人的人脈關系都是有商業價值的。如果在受害者的QQ聊天記錄或QQ郵箱中偷到受害人電腦上的商業信息,比如財務報表、人事檔案,攻擊者都可以謀取非法利益。

三、避免成為“肉雞”應對策略

“肉雞”電腦是攻擊者“致富”的源泉,在黑客攻擊者的機器里,“肉雞”電腦就一只只待宰的羔羊一樣被賣來賣去。與其憤憤不平,不如退而結網,思索應對防御才為上策。如何構筑起自己機器軟件防護資源的“銅墻鐵壁”?真正成為自己機器的主宰。具體的策略有:

1.如何檢查自己的電腦是不是肉雞?警惕注意個人計算機在網絡上的異常現象與跡象。對秘自己機器是否已遭受木馬入侵,做到心中有數,并及時地將木馬程序清除。

具體表征的現象與跡象如:

(1)QQ登錄系統提示異常IP,MSN提醒你曾給給朋友發過郵件的虛無信息。

(2)網絡游戲登錄時發現裝備丟失或和你上次上機時的時間與IP不符,甚至用正確的密碼無法登錄。

(3)突然發現你的鼠標不聽使喚,鼠標異常移動,并點擊有關按鈕或界面進行操作。

(4)正常上網時,感覺突然異常不暢,硬盤指示燈不停閃爍,如同你平時在COPY文件。

(5)當你準備使用攝像頭或其他設備時,系統提示,該設備正在使用中。

(6)在你沒有使用網絡資源時,發現網卡燈在不停閃爍……

用戶應立即檢查進程動態,或借助一些軟件來觀察網絡活動情況,以檢查系統是否被入侵。如tcpview、金山清理專家等。

2.對個人電腦所用操作系統進行安全性改造。如用戶口令設置,并保證口令使用字母和其它特殊字符的組合,長度不低于8位,并定期修改口令;或改變登錄方式,要求必須按ctrl+alt+del才可以登錄。

3.任何時候離開個人電腦時,建議拔掉網線,或斷開網絡。不能斷線的計算機,建議采用機器休眠鎖定,不要讓陌生人能夠物理的接觸到你的計算機。

4.確保網絡防火墻啟用,并保障機器所用殺毒和防火墻軟件能及時升級。對于互聯網用戶來說,網絡防火墻(注意,這里指firewall,不是很多人認為的病毒實時監控)是隔離本機計算機和外界的一道關口,正確啟用和配置防火墻,將會使你減少很多直接面對攻擊的機會。在你的系統有漏洞未修補時,防火墻可能是唯一可保護你的電腦安全的解決方案。

但是,不要以為開啟了防火墻就萬事無憂了,防火墻基本只是攔截由外到內(由互聯網到本機)通信,由內向外的訪問,很容易使用各種手段進行欺騙,木馬就是這樣逃避防火墻完成盜竊任務的。在網頁訪問時,對所要求安裝的插件也要謹慎安裝。盡管,防火墻不是總有效,但有防火墻比沒有強很多,是必須要啟用的。

5.切實關注安全漏洞信息,及時使用各種補丁修復工具(如360安全衛士等),提升系統安全性。

系統漏洞在正式公布前,通常會被黑客利用很長時間,這就是通常說的0day攻擊,這樣的攻擊也越來越常見。漏洞涉及windows操作系統文件和其它應用軟件,但風險最大的仍是windows系統漏洞。應用軟件漏洞的利用會受到較多的環境制約,通常風險相對較低。

最近廣泛引起人們關注的是flash player漏洞,攻擊者可利用這個漏洞運行任意指定的代碼。能用windows update的,一定要用,讓windows進行自動更新。看到右下角windows update正在工作的圖標,別給阻止了。用戶不能正常使用windows update或microsoft update的,建議使用第三方漏洞修復工具。

6.安裝使用殺毒軟件,并經常檢查是否工作正常,是否可以進行病毒特征的更新。

不要把安全問題只交給殺毒軟件來負責,安全是系統工程,殺毒軟件只是其中的一環。病毒的新民變種總是先期于殺毒軟件更新。在很多情況下,安裝殺毒軟件后,還是會中各種各樣的病毒。但這不能說明殺毒軟件不必要,相反,殺毒軟件是非常重要的,如果沒有殺毒軟件,系統可能會更糟。

越來越多的病毒為了入侵你的系統,首先會嘗試將殺毒軟件癱瘓。破壞殺毒軟件的功能,可能比殺毒軟件對付病毒還要容易。破壞者會針對這幾種安全軟件做手腳。并且,病毒制造者不象殺毒軟件那樣,必須考慮每個更新帶來的兼容性問題,攻擊者只關注木馬需要完成的任務,不計后果。木馬病毒制造者是這樣痛恨殺毒軟件,用戶不要指望殺毒軟件自身可以做成銅墻鐵壁。連操作系統都可以被破壞,何況殺毒軟件。

我們還可以把殺毒軟件的工作狀態,當作另一種檢驗工具:只要觀察到殺毒軟件突然不工作了,第一反應就應是否被木馬給破壞了。

7.對使用的移動存儲設備要先殺毒再使用。移動存儲設備因接觸的機器多,最容易成為病毒和木馬的攜帶者和傳播者?，F在,公眾越來越頻繁的使用移動存儲設備(移動硬盤、U盤、數碼存儲卡)傳遞文件,這些移動存儲設備成為木馬傳播的重要通道。通常把這樣的病毒稱為U盤病毒或AUTO病毒。意思是插入U盤這個動作,就能讓病毒從一個U盤傳播到另一臺電腦?？山肬盤的自動播放功能,將染毒的風險降低。

8.安全上網,更需文明上網。成為肉雞很重要的原因之一是瀏覽不安全的網站,區分網站安全與否,這對普通用戶來說,甚是困難。即使正常的網站也存在被入侵植入木馬的可能性。也有被ARP攻擊之后,訪問任何網頁都有可能下載木馬的風險。目前沿無良法去規避網頁瀏覽與下載而中木馬的風險。只能降低這種風險。另外瀏覽器的安全性也應特別關注,瀏覽器和瀏覽器插件的漏洞是黑客們的最愛,如flash player漏洞就是插件漏洞,這種漏洞是跨瀏覽器平臺的,任何使用flash player的場合都可能存在這種風險。瀏覽器漏洞的及時修補,將瀏覽器及時升級到最新版本,將減少把有風險的系統暴露給攻擊者的時間。

避免瀏覽一些不健康的灰色站點,如人數眾多的生活社區、在線視頻社區、聊天交友社區、色情類網站、賭博類網站等等。瀏覽這些類網站后,易發現系統異常,采取上述方法進行檢查。

以上所述,絕非安全防護的全部,只能說是應對風險幾大環節。注意從上述幾點有意識地對計算機進行安全防護,至少水平較低的黑客無計可施。對計算機病毒與木馬的安全防范,是一個動態的、長期的過程。時刻提高警惕,在互聯網及文件數據處理時要有首先清除病毒木馬侵襲威脅的觀點。如同外科醫生眼里認為一切物體都是被細菌病毒污染的,消毒是最基本原則一樣。同時應值得高興地是我們國家及其他國家也正在信息安全立法和執法的的角度上將此上升為國家意識與意志。將會利網絡空間這塊天地走向明凈與美好。

參考文獻:

[1]張新寶,隱私權的法律保護,北京群眾出版社,1997.

[2]楊立新,“關于隱私權及其法律保護的幾個問題”,人民檢察,2000.

[3]曹亦萍,“社會信息化與隱私權保護”,政法論壇,1998.

[4]張秀蘭,網絡隱私權保護研究,北京圖書館出版社,2001.

[5]魏振瀛,民法,北京大學出版社高等教育出版社,2006,第二版.