还剩1页未读,继续阅读
文本内容:
特洛伊木马病毒攻击与防护“特洛伊木马”简称特洛伊木马他的英文名字叫特洛伊木马它的名字来源于史诗《哈马》的故事希腊军队包围了特洛伊城,但长期未能征服它此后,士兵们躲在巨大的特洛伊木马中,混入城市,最终烧毁并屠杀了特洛伊城后世称这只大木马为“特洛伊木马”如今黑客程序借用其名,有“一经潜入,后患无穷”之意完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序“中了木马”就是指安装了木马的服务器程序,若你的电脑被中了木马程序后,电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了例如“工行钓鱼木马”病毒运行后,会监视微软IE浏览器正在访问的网页,当用户输入自己的帐户号和密码,随之就会被盗取
一、木马的功能特点木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限大多数木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成攻击者经常把木马隐藏在一些游戏,图片,免费软件,邮件之中,诱使一些用户在自己的机器上运行只要用户一运行软件,木马服务器部分就在用户毫无知觉的情况下完成了安装过程木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密等
二、使用远程控制的能力首先,木马具有记录键击等事件的能力,这意味着攻击者能够窃取用户的密码、目录路径、驱动器映射,甚至医疗记录、银行帐户和信用卡等重要信息其次,如果一个未经授权的用户掌握了远程控制宿主机器的能力,宿主机器就变成了强大的攻击武器远程攻击者不仅拥有了随意操控PC本身资源的能力,而且还能够冒充PC合法用户
三、用户(用户)配置常见的木马,例如Back Orifice和SubSeven等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能这些木马可以当作键记录器、远程控制器、FTP、HTTP、Telnet服务器,还能够寻找和窃取密码攻击者可以配置木马监听的端口、运行方式,以及木马是否通过e-mail、IRC或其他通信手段联系发起攻击的人一些危害大的木马还有一定的反侦测能力,能够采取各种方式隐臧自身,加密通信,甚至提供了专业级的API供其它攻击者开发附加的功能有一些木马功能比较单一,如键盘记录器木马,它们把受害用户的每一个键击事件记录下来,保存到某个隐藏的文件,这样攻击者就可以下载文件分析用户的操作了还有一些木马具有FTP、Web或聊天服务器的功能,它只用来窃取难以获得的初始远程控制能力,保障最初入侵行动的安全,以便在不太可能引起注意的适当时机完成上传和安装今年7月10日,江民科技发布了2006年上半年十大病毒排行,其中多数都是木马病毒,下面我们就来看看两种最流行的木马
1、系统实现功能Backdoor/Huigezi,“灰鸽子”变种cm是一个未经授权远程访问用户计算机的后门“灰鸽子”变种c m运行后,自我复制到系统目录下修改注册表,实现开机自启侦听黑客指令,记录键击,盗取用户机密信息,例如用户拨号上网口令,URL密码等利用挂钩API函数隐藏自我,防止被查杀另外,“灰鸽子”变种c m可下载并执行特定文件,发送用户机密信息给黑客等
2、帐号密码的木马程序Trojan/PSW.Lmir,传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序运行后,主程序文件自己复制到系统目录下修改注册表,实现开机自启终止某些防火墙、杀毒软件进程病毒进程被终止后,会自动重启,窃取“传奇2”帐号密码,并将盗取的信息发送给黑客
四、检测木马的一般程序要反击恶意代码,最佳的武器是最新的、成熟的病毒扫描防火墙工具扫描工具能够检测出大多数木马,并尽可能地使清理过程自动化木马入侵的一个明显证据是受害机器上意外地打开了某个端口一旦发现有木马入侵的证据,应当尽快切断该机器的网络连接,减少攻击者探测和进一步攻击的机会打开任务管理器,关闭所有连接到Internet的程序,从系统上关闭所有正在运行的程序注意暂时不要启动到安全模式,启动到安全模式通常会阻止木马装入内存,为检测木马带来困难总之,木马造成的危害程度越来越严重,直接危害到我国政府机关和企业的网络安全,使用者应深入了解木马的运行原理,在此基础上采取正确的防卫措施,有效减少木马带来的危害多数操作系统,都带有检测IP网络状态的Netstat工具,它能够显示出本地机器上所有活动的监听端口(包括U DP和T CP)o打开一个命令行窗口,执行Netstat-a”命令就可以显示出本地机器上所有打开的I P端口,注意一下是否存在意外打开的端口但Netstat命令有一个缺点,它能够显示出哪些IP端口已经激活,但却没有显示出哪些程序或文件激活了这些端口要找出哪个执行文件创建了哪个网络连接,必须使用端口枚举工具,例如,Winternals Software的TCPView ProfessionalEdition就是一个优秀的端口枚举工具Tauscan除了能够识别木马,也能够建立程序与端口的联系另外,XP的Netstat工具提供了一个新的参数选项,能够显示出正在使用端口的程序或服务的进程标识符P ID,有了PI D,用任务管理器就可以方便地根据PID找到对应的程序如果手头没有端口检测工具,无法快速找出幕后肇事者的真正身份,请按照下列步骤操作:寻找自动启动的陌生程序,查找位置包括注册表、.ini文件、启动文件夹等然后将机器重新启动进入安全模式,可能的话,用Netstat命令确认一下木马尚未装入内存接下来,分别运行前面找出的各个有疑问的程序,每次运行一个,分别用Netstat命令检查新打开的端口如果某个程序初始化了一个Internet连接,那就要特别小心了深入研究一下所有可疑的程序,删除所有不能信任的软件Netstat命令和端口枚举工具非常适合于检测一台机器,但如果要检测的是整个网络,又该怎么办大多数入侵检测系统Intrusion DetectionSystem,IDS都具有在常规通信中捕获常见木马数据包的能力F T P和H TTP数据具有可识别的特殊数据结构,木马数据包也一样。