陳　楚

[摘要]網(wǎng)絡(luò)技術(shù)的快速發(fā)展為人們提供了便利的同時,也帶來了巨大的安全隱患,木馬病毒通過潛伏在客戶端,會破壞、竊取客戶端的敏感信息,造成重要危害。對木馬病毒的分類、特性以及危害進(jìn)行分析,并對木馬病毒的防范和清除提出幾點措施。

[關(guān)鍵詞]木馬 特洛伊 病毒 防范 清除

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)0810059-02

隨著計算機和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛應(yīng)用,互聯(lián)網(wǎng)讓人們充分享受到了其給工作和生活帶來的巨大便利,人類社會對計算機系統(tǒng)和信息網(wǎng)絡(luò)的依賴性也越來越大。然而據(jù)報道,世界各國遭受計算機病毒感染和攻擊的事件數(shù)以億計,嚴(yán)重地干擾了正常的人類社會生活,給計算機網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威脅和破壞。

一、木馬病毒概述

(一)木馬的概念

“木馬”全稱是“特洛伊木馬(Trojan Horse)”。在大英百科全書中,Trojan Horse的定義是“隱藏在其他程序中的安全破壞程序(security

breaking),如地址清單、壓縮文件或游戲程序中”。木馬程序通常不會單獨出現(xiàn),總是會隱藏在其他程序后面,或者以各種手段來掩護(hù)它本來的目的。

一般的木馬程序分為兩部分:被控制端和控制端。在正向連接中,被控制端會打開一個默認(rèn)的端口進(jìn)行監(jiān)聽,等待控制端提出連接請求。在反向連接中,被控制端則主動發(fā)送連接請求。雙方建立連接后,控制端一般會發(fā)送命令,如鍵盤記錄命令、文件操作命令以及敏感信息獲取命令等,被控制端接收并執(zhí)行這些命令,然后返回相應(yīng)結(jié)果到控制端。

(二)木馬病毒的分類

按通信方式,可將木馬分為基于TCP技術(shù)的木馬,包括正向連接、反彈端口、HTTP隧道、發(fā)送郵件型;基于其它IP技術(shù)的木馬,如畸形UDP、ICMP數(shù)據(jù)包等;基于非IP協(xié)議的木馬,如利用NetBios,MailSlot等協(xié)議傳輸?shù)哪抉R。

按木馬運行層次,可分為應(yīng)用級木馬和內(nèi)核級木馬。應(yīng)用級木馬,工作在操作系統(tǒng)Ring 3級,由于計算機底層的操作系統(tǒng)中的程序、庫以及內(nèi)核都未受影響,這種木馬對系統(tǒng)的影響相對較小。典型的應(yīng)用級木馬有:Bingle、網(wǎng)絡(luò)神偷、ZXshell、灰鴿子等。內(nèi)核級木馬,運行在操作系統(tǒng)內(nèi)核中,常采用驅(qū)動程序技術(shù)實現(xiàn)內(nèi)核級木馬的加載工作。內(nèi)核級木馬與一般檢測工具一樣運行在系統(tǒng)內(nèi)核,隱蔽性較高,查殺難度大,是當(dāng)前的主流發(fā)展趨勢。

根據(jù)木馬程序?qū)τ嬎銠C的具體動作方式,還可以把現(xiàn)在的木馬程序分為以下幾類:

1.遠(yuǎn)程控制型:遠(yuǎn)程控制型木馬是現(xiàn)今最廣泛的特洛伊木馬,這種木馬起著遠(yuǎn)程監(jiān)控的功能,使用簡單,只要被控制主機聯(lián)入網(wǎng)絡(luò),并與控制端客戶程序建立網(wǎng)絡(luò)連接,控制者就能任意訪問被控制的計算機。這種木馬在控制端的控制下可以在被控主機上做任意的事情,比如鍵盤一記錄,文件上傳/下載,截取屏幕,遠(yuǎn)程執(zhí)行等。

2.密碼發(fā)送型:密碼發(fā)送型木馬的目的是找到所有的隱藏密碼,并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。

3.鍵盤記錄型:鍵盤記錄型木馬非常簡單,它們只做一種事情,就是記錄受害者的鍵盤敲擊,并且在LOG文件里進(jìn)行完整的記錄。這種木馬程序隨著Windows系統(tǒng)的啟動而自動加載,并能感知受害主機在線,且記錄每一個用戶事件,然后通過郵件或其他方式發(fā)送給控制者。

4.毀壞型:大部分木馬程序只是竊取信息,不做破壞性的事件,但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動刪除受控主機上所有的.ini或.exe文件,甚至遠(yuǎn)程格式化受害者硬盤,使得受控主機上的所有信息都受到破壞。

5.FTP型:FTP型木馬打開被控主機系統(tǒng)的21號端口(FTP服務(wù)所使用的默認(rèn)端口),使每一個人都可以用一個FTP客戶端程序來不要密碼連接到受控制主機系統(tǒng),并且可以進(jìn)行最高權(quán)限的文件上傳和下載,竊取受害系統(tǒng)中的機密文件。

(三)木馬的特性分析

一個典型的特洛伊木馬(程序)通常具有以下四個特點:有效性、隱蔽性、頑固性和易植入性。以從這四個方面來加以評估一個木馬的危害大小和清除難易程度。它們是:

1.有效性:由于木馬常常構(gòu)成網(wǎng)絡(luò)入侵方法中的一個重要內(nèi)容。它運行在目標(biāo)機器上就必須能夠?qū)崿F(xiàn)入侵者的某些企圖,因此有效性就是指入侵的木馬能夠與其控制端(入侵者)建立某種有效聯(lián)系,從而能夠充分控制目標(biāo)機器并竊取其中的敏感信息。

2.隱蔽性:木馬必須有能力長期潛伏于目標(biāo)機器中而不被發(fā)現(xiàn)。一個隱蔽性差的木馬往往會很容易暴露自己,進(jìn)而被殺毒(或殺馬)軟件,甚至用戶手工檢查出來,這樣將使得這類木馬變得毫無價值。

3.木馬頑固性就是指有效清除木馬的難易程度。若一個木馬在檢查出來之后,仍然無法將其一次性有效清除,那么該木馬就具有較強的頑固性。

4.易植入性:顯然任何木馬必須首先能夠進(jìn)入目標(biāo)機器(植入操作),因此易植入性就成為木馬有效性的先決條件。

(四)木馬病毒的危害

木馬程序的危害非常大,它能使遠(yuǎn)程用戶獲得本地計算機的最高操作權(quán)限,通過網(wǎng)絡(luò)對本地計算機進(jìn)行任意的操作,比如刪添程序、鎖定注冊表、獲取用戶保密信息、遠(yuǎn)程關(guān)機等。木馬使用戶的電腦完全暴露在網(wǎng)絡(luò)環(huán)境之中,成為別人操縱的對象。

木馬不僅破壞計算機及計算機網(wǎng)絡(luò),而且對其進(jìn)行控制,并竊取或篡改重要信息,不斷對網(wǎng)絡(luò)安全造成嚴(yán)重的破壞。另外,木馬還被許多不法分子用作犯罪工具,造成巨大的經(jīng)濟損失,甚至擾亂社會治安。

據(jù)國際著名風(fēng)險管理公司公布的調(diào)查結(jié)果顯示,在2007年,病毒、蠕蟲和特洛伊木馬等惡意程序或混合型攻擊共給全球造成了1690億美元的經(jīng)濟損失。同時它預(yù)計,全球約有6億部Windows計算機,每部計算機因遭受攻擊而帶來的經(jīng)濟損失大約在281美元到340美元之間。

二、木馬病毒的防范及清除

(一)阻斷木馬的網(wǎng)絡(luò)通信

通過網(wǎng)絡(luò)監(jiān)控發(fā)現(xiàn)網(wǎng)絡(luò)通信的異常并阻斷木馬的網(wǎng)絡(luò)通信,或者定義各種規(guī)則,使木馬無法進(jìn)行網(wǎng)絡(luò)通信。防火墻、入侵檢測(Intrusion Detection)以及入侵保護(hù)(Intrusion Protection)是這類技術(shù)的典型。它們對網(wǎng)絡(luò)通信的端口及網(wǎng)絡(luò)鏈接作了沿革的限制和嚴(yán)密的監(jiān)控,發(fā)現(xiàn)并攔截任何未經(jīng)允許的網(wǎng)絡(luò)連接或者通信端口的使用,并向用戶報警。此外,入侵檢測還能探測網(wǎng)絡(luò)流量中潛在的入侵和攻擊。而入侵保護(hù)在此基礎(chǔ)上又增加了主動阻斷功能,目前的入侵保護(hù)系統(tǒng)產(chǎn)品在性能和數(shù)據(jù)包的分析能力上比入侵檢測系統(tǒng)產(chǎn)品都有了質(zhì)的提升。

(二)監(jiān)控網(wǎng)絡(luò)端口

特洛伊木馬入侵的一個明顯證據(jù)是受害機器上意外地打開了某個端口。特別地是,如果這個端口正好是特洛伊木馬常用的端口,木馬入侵的證據(jù)就更加確定了,一旦發(fā)現(xiàn),應(yīng)當(dāng)盡快切斷該機器的網(wǎng)絡(luò)連接,減少攻擊者探測和進(jìn)一步攻擊的機會。打開任務(wù)管理器,關(guān)閉所有連接到Internet的程序,例如Email程序,IM程序等,從系統(tǒng)托盤上關(guān)閉所有正在運行的程序。特征碼技術(shù)最初被應(yīng)用于反病毒,后亦用于反木馬,它被作為檢測這些非法程序的最基本的技術(shù)沿用至今,也是目前各類反病毒軟件普遍采用的主要技術(shù)。

(三)實時監(jiān)控

“實時監(jiān)控”從文件、郵件、網(wǎng)頁等多個不同的角度對流入、流出系統(tǒng)的數(shù)據(jù)進(jìn)行過濾,檢測并處理其中可能含有的非法程序代碼。與其它技術(shù)相比,它在反病毒、反木馬等方面體現(xiàn)出實時性的特點,能較明顯地減少甚至完全避免由非法程序帶來的危害。

在上網(wǎng)時,必須運行反木馬實時監(jiān)控程序,實時監(jiān)控程序可即時顯示當(dāng)前所有運行程序并配有相關(guān)的詳細(xì)描述信息。另外,也可以采用一些專業(yè)的最新殺毒軟件、個人防火墻進(jìn)行監(jiān)控。

(四)根據(jù)木馬病毒行為分析進(jìn)行防范

行為分析就是根據(jù)程序的動態(tài)行為特征(如在注冊表設(shè)置自啟動項等)判斷其是否可疑。目前,病毒、木馬等非法程序的種類迅速增加、變化不斷加快,帶來的危害日益嚴(yán)重,而特征碼的提取又必然滯后于非法程序出現(xiàn),根據(jù)國際著名的信息安全廠商熊貓軟件公司的技術(shù)文獻(xiàn),從某種特征碼未知的非法程序出現(xiàn),到研究出它的檢測和清除方法,通常會相隔72個小時甚至更多的時間。因而急需這樣一種技術(shù):能在特征碼提取之前,檢測特征碼未知的非法程序,以有效的阻止其進(jìn)行破壞,更大程度地降低損失。行為分析正是具有可檢測特征碼未知的非法程序的特點,所以成為目前國內(nèi)外反病毒、反木馬等領(lǐng)域研究的熱點。

(五)控制對注冊表的訪問

注冊表是許多木馬進(jìn)行隱蔽運行、隱蔽啟動的工具。對注冊表的訪問進(jìn)行控制,可使許多木馬程序無法把自己加載到注冊表進(jìn)行啟動或隱蔽自己的運行。許多木馬是通過修改注冊表進(jìn)行惡意操作的,限制對注冊表操作,木馬就不能對系統(tǒng)作出惡意的危害操作。禁止或控制對注冊表的常用的自啟動項、木馬常用的關(guān)聯(lián)項啟動項、木馬常用來啟動的其它特殊項、木馬進(jìn)行提高權(quán)限的一些特殊項進(jìn)行訪問,就能夠破壞一部分木馬的隱蔽啟動、運行條件,那么木馬就無法植入到目標(biāo)系統(tǒng)。

(六)其他預(yù)防策略

對于網(wǎng)上下載的軟件在安裝、使用前一定要用反病毒軟件進(jìn)行檢查,最好是專門查殺木馬程序的軟件進(jìn)行檢查,確定沒有木馬程序后再執(zhí)行、使用?，F(xiàn)在,很多木馬程序附加在郵件的附件之中,收郵件者一旦點擊附件,它就會立即運行。所以千萬不要打開那些不熟悉的郵件,特別是標(biāo)題有點亂的郵件,這些郵件往往就是木馬的攜帶者。

三、結(jié)論

隨著計算機技術(shù)的不斷發(fā)展,木馬植入方式、隱蔽技術(shù)也將不斷的變化。互聯(lián)網(wǎng)的廣泛應(yīng)用,將會有越來越多的新型木馬得到及時廣泛的傳播,給計算機網(wǎng)絡(luò)的安全構(gòu)成嚴(yán)重的威脅。計算機病毒的迅速變異及發(fā)展,同時也要求防病毒措施和手段也不斷更新,而且要求查殺病毒的同時,注重病毒的預(yù)防,進(jìn)行病毒行為的分析來達(dá)到預(yù)防的目的。

參考文獻(xiàn):

[1]江民科技,2006年上半年十大病毒及疫情報告,http://www.jiangmin.

com,2006.8.

[2]鄧吉,黑客攻防實戰(zhàn)入門(第2版),北京:電子工業(yè)出版社,2007:175-191.

[3]傅建明、彭國軍,計算機病毒分析與對抗,武漢:武漢大學(xué)出版社,2004:222-241.

[4]康治平、向宏,特洛伊木馬隱藏技術(shù)研究及實踐,計算機工程與應(yīng)用,2006,13(9):137-139.

[5]孫淑華、馬恒太,后門植入、隱藏與檢測技術(shù)研究,計算機應(yīng)用研究,2004(7):78-81.