淺析計算機黑客“木馬”的危害與防治

陳　楚

[摘要]網絡技術的快速發展為人們提供了便利的同時,也帶來了巨大的安全隱患,木馬病毒通過潛伏在客戶端,會破壞、竊取客戶端的敏感信息,造成重要危害。對木馬病毒的分類、特性以及危害進行分析,并對木馬病毒的防范和清除提出幾點措施。

[關鍵詞]木馬 特洛伊 病毒 防范 清除

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0810059-02

隨著計算機和網絡技術的迅猛發展和廣泛應用,互聯網讓人們充分享受到了其給工作和生活帶來的巨大便利,人類社會對計算機系統和信息網絡的依賴性也越來越大。然而據報道,世界各國遭受計算機病毒感染和攻擊的事件數以億計,嚴重地干擾了正常的人類社會生活,給計算機網絡和系統帶來了巨大的潛在威脅和破壞。

一、木馬病毒概述

(一)木馬的概念

“木馬”全稱是“特洛伊木馬(Trojan Horse)”。在大英百科全書中,Trojan Horse的定義是“隱藏在其他程序中的安全破壞程序(security

breaking),如地址清單、壓縮文件或游戲程序中”。木馬程序通常不會單獨出現,總是會隱藏在其他程序后面,或者以各種手段來掩護它本來的目的。

一般的木馬程序分為兩部分:被控制端和控制端。在正向連接中,被控制端會打開一個默認的端口進行監聽,等待控制端提出連接請求。在反向連接中,被控制端則主動發送連接請求。雙方建立連接后,控制端一般會發送命令,如鍵盤記錄命令、文件操作命令以及敏感信息獲取命令等,被控制端接收并執行這些命令,然后返回相應結果到控制端。

(二)木馬病毒的分類

按通信方式,可將木馬分為基于TCP技術的木馬,包括正向連接、反彈端口、HTTP隧道、發送郵件型;基于其它IP技術的木馬,如畸形UDP、ICMP數據包等;基于非IP協議的木馬,如利用NetBios,MailSlot等協議傳輸的木馬。

按木馬運行層次,可分為應用級木馬和內核級木馬。應用級木馬,工作在操作系統Ring 3級,由于計算機底層的操作系統中的程序、庫以及內核都未受影響,這種木馬對系統的影響相對較小。典型的應用級木馬有:Bingle、網絡神偷、ZXshell、灰鴿子等。內核級木馬,運行在操作系統內核中,常采用驅動程序技術實現內核級木馬的加載工作。內核級木馬與一般檢測工具一樣運行在系統內核,隱蔽性較高,查殺難度大,是當前的主流發展趨勢。

根據木馬程序對計算機的具體動作方式,還可以把現在的木馬程序分為以下幾類:

1.遠程控制型:遠程控制型木馬是現今最廣泛的特洛伊木馬,這種木馬起著遠程監控的功能,使用簡單,只要被控制主機聯入網絡,并與控制端客戶程序建立網絡連接,控制者就能任意訪問被控制的計算機。這種木馬在控制端的控制下可以在被控主機上做任意的事情,比如鍵盤一記錄,文件上傳/下載,截取屏幕,遠程執行等。

2.密碼發送型:密碼發送型木馬的目的是找到所有的隱藏密碼,并且在受害者不知道的情況下把它們發送到指定的信箱。

3.鍵盤記錄型:鍵盤記錄型木馬非常簡單,它們只做一種事情,就是記錄受害者的鍵盤敲擊,并且在LOG文件里進行完整的記錄。這種木馬程序隨著Windows系統的啟動而自動加載,并能感知受害主機在線,且記錄每一個用戶事件,然后通過郵件或其他方式發送給控制者。

4.毀壞型:大部分木馬程序只是竊取信息,不做破壞性的事件,但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動刪除受控主機上所有的.ini或.exe文件,甚至遠程格式化受害者硬盤,使得受控主機上的所有信息都受到破壞。

5.FTP型:FTP型木馬打開被控主機系統的21號端口(FTP服務所使用的默認端口),使每一個人都可以用一個FTP客戶端程序來不要密碼連接到受控制主機系統,并且可以進行最高權限的文件上傳和下載,竊取受害系統中的機密文件。

(三)木馬的特性分析

一個典型的特洛伊木馬(程序)通常具有以下四個特點:有效性、隱蔽性、頑固性和易植入性。以從這四個方面來加以評估一個木馬的危害大小和清除難易程度。它們是:

1.有效性:由于木馬常常構成網絡入侵方法中的一個重要內容。它運行在目標機器上就必須能夠實現入侵者的某些企圖,因此有效性就是指入侵的木馬能夠與其控制端(入侵者)建立某種有效聯系,從而能夠充分控制目標機器并竊取其中的敏感信息。

2.隱蔽性:木馬必須有能力長期潛伏于目標機器中而不被發現。一個隱蔽性差的木馬往往會很容易暴露自己,進而被殺毒(或殺馬)軟件,甚至用戶手工檢查出來,這樣將使得這類木馬變得毫無價值。

3.木馬頑固性就是指有效清除木馬的難易程度。若一個木馬在檢查出來之后,仍然無法將其一次性有效清除,那么該木馬就具有較強的頑固性。

4.易植入性:顯然任何木馬必須首先能夠進入目標機器(植入操作),因此易植入性就成為木馬有效性的先決條件。

(四)木馬病毒的危害

木馬程序的危害非常大,它能使遠程用戶獲得本地計算機的最高操作權限,通過網絡對本地計算機進行任意的操作,比如刪添程序、鎖定注冊表、獲取用戶保密信息、遠程關機等。木馬使用戶的電腦完全暴露在網絡環境之中,成為別人操縱的對象。

木馬不僅破壞計算機及計算機網絡,而且對其進行控制,并竊取或篡改重要信息,不斷對網絡安全造成嚴重的破壞。另外,木馬還被許多不法分子用作犯罪工具,造成巨大的經濟損失,甚至擾亂社會治安。

據國際著名風險管理公司公布的調查結果顯示,在2007年,病毒、蠕蟲和特洛伊木馬等惡意程序或混合型攻擊共給全球造成了1690億美元的經濟損失。同時它預計,全球約有6億部Windows計算機,每部計算機因遭受攻擊而帶來的經濟損失大約在281美元到340美元之間。

二、木馬病毒的防范及清除

(一)阻斷木馬的網絡通信

通過網絡監控發現網絡通信的異常并阻斷木馬的網絡通信,或者定義各種規則,使木馬無法進行網絡通信。防火墻、入侵檢測(Intrusion Detection)以及入侵保護(Intrusion Protection)是這類技術的典型。它們對網絡通信的端口及網絡鏈接作了沿革的限制和嚴密的監控,發現并攔截任何未經允許的網絡連接或者通信端口的使用,并向用戶報警。此外,入侵檢測還能探測網絡流量中潛在的入侵和攻擊。而入侵保護在此基礎上又增加了主動阻斷功能,目前的入侵保護系統產品在性能和數據包的分析能力上比入侵檢測系統產品都有了質的提升。

(二)監控網絡端口

特洛伊木馬入侵的一個明顯證據是受害機器上意外地打開了某個端口。特別地是,如果這個端口正好是特洛伊木馬常用的端口,木馬入侵的證據就更加確定了,一旦發現,應當盡快切斷該機器的網絡連接,減少攻擊者探測和進一步攻擊的機會。打開任務管理器,關閉所有連接到Internet的程序,例如Email程序,IM程序等,從系統托盤上關閉所有正在運行的程序。特征碼技術最初被應用于反病毒,后亦用于反木馬,它被作為檢測這些非法程序的最基本的技術沿用至今,也是目前各類反病毒軟件普遍采用的主要技術。

(三)實時監控

“實時監控”從文件、郵件、網頁等多個不同的角度對流入、流出系統的數據進行過濾,檢測并處理其中可能含有的非法程序代碼。與其它技術相比,它在反病毒、反木馬等方面體現出實時性的特點,能較明顯地減少甚至完全避免由非法程序帶來的危害。

在上網時,必須運行反木馬實時監控程序,實時監控程序可即時顯示當前所有運行程序并配有相關的詳細描述信息。另外,也可以采用一些專業的最新殺毒軟件、個人防火墻進行監控。

(四)根據木馬病毒行為分析進行防范

行為分析就是根據程序的動態行為特征(如在注冊表設置自啟動項等)判斷其是否可疑。目前,病毒、木馬等非法程序的種類迅速增加、變化不斷加快,帶來的危害日益嚴重,而特征碼的提取又必然滯后于非法程序出現,根據國際著名的信息安全廠商熊貓軟件公司的技術文獻,從某種特征碼未知的非法程序出現,到研究出它的檢測和清除方法,通常會相隔72個小時甚至更多的時間。因而急需這樣一種技術:能在特征碼提取之前,檢測特征碼未知的非法程序,以有效的阻止其進行破壞,更大程度地降低損失。行為分析正是具有可檢測特征碼未知的非法程序的特點,所以成為目前國內外反病毒、反木馬等領域研究的熱點。

(五)控制對注冊表的訪問

注冊表是許多木馬進行隱蔽運行、隱蔽啟動的工具。對注冊表的訪問進行控制,可使許多木馬程序無法把自己加載到注冊表進行啟動或隱蔽自己的運行。許多木馬是通過修改注冊表進行惡意操作的,限制對注冊表操作,木馬就不能對系統作出惡意的危害操作。禁止或控制對注冊表的常用的自啟動項、木馬常用的關聯項啟動項、木馬常用來啟動的其它特殊項、木馬進行提高權限的一些特殊項進行訪問,就能夠破壞一部分木馬的隱蔽啟動、運行條件,那么木馬就無法植入到目標系統。

(六)其他預防策略

對于網上下載的軟件在安裝、使用前一定要用反病毒軟件進行檢查,最好是專門查殺木馬程序的軟件進行檢查,確定沒有木馬程序后再執行、使用。現在,很多木馬程序附加在郵件的附件之中,收郵件者一旦點擊附件,它就會立即運行。所以千萬不要打開那些不熟悉的郵件,特別是標題有點亂的郵件,這些郵件往往就是木馬的攜帶者。

三、結論

隨著計算機技術的不斷發展,木馬植入方式、隱蔽技術也將不斷的變化。互聯網的廣泛應用,將會有越來越多的新型木馬得到及時廣泛的傳播,給計算機網絡的安全構成嚴重的威脅。計算機病毒的迅速變異及發展,同時也要求防病毒措施和手段也不斷更新,而且要求查殺病毒的同時,注重病毒的預防,進行病毒行為的分析來達到預防的目的。

參考文獻:

[1]江民科技,2006年上半年十大病毒及疫情報告,http://www.jiangmin.

com,2006.8.

[2]鄧吉,黑客攻防實戰入門(第2版),北京:電子工業出版社,2007:175-191.

[3]傅建明、彭國軍,計算機病毒分析與對抗,武漢:武漢大學出版社,2004:222-241.

[4]康治平、向宏,特洛伊木馬隱藏技術研究及實踐,計算機工程與應用,2006,13(9):137-139.

[5]孫淑華、馬恒太,后門植入、隱藏與檢測技術研究,計算機應用研究,2004(7):78-81.