陈 楚
[摘要]网络技术的快速发展为人们提供了便利的同时,也带来了巨大的安全隐患,木马病毒通过潜伏在客户端,会破坏、窃取客户端的敏感信息,造成重要危害。对木马病毒的分类、特性以及危害进行分析,并对木马病毒的防范和清除提出几点措施。
[关键词]木马 特洛伊 病毒 防范 清除
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0810059-02
随着计算机和网络技术的迅猛发展和广泛应用,互联网让人们充分享受到了其给工作和生活带来的巨大便利,人类社会对计算机系统和信息网络的依赖性也越来越大。然而据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。
一、木马病毒概述
(一)木马的概念
“木马”全称是“特洛伊木马(Trojan Horse)”。在大英百科全书中,Trojan Horse的定义是“隐藏在其他程序中的安全破坏程序(security
breaking),如地址清单、压缩文件或游戏程序中”。木马程序通常不会单独出现,总是会隐藏在其他程序后面,或者以各种手段来掩护它本来的目的。
一般的木马程序分为两部分:被控制端和控制端。在正向连接中,被控制端会打开一个默认的端口进行监听,等待控制端提出连接请求。在反向连接中,被控制端则主动发送连接请求。双方建立连接后,控制端一般会发送命令,如键盘记录命令、文件操作命令以及敏感信息获取命令等,被控制端接收并执行这些命令,然后返回相应结果到控制端。
(二)木马病毒的分类
按通信方式,可将木马分为基于TCP技术的木马,包括正向连接、反弹端口、HTTP隧道、发送邮件型;基于其它IP技术的木马,如畸形UDP、ICMP数据包等;基于非IP协议的木马,如利用NetBios,MailSlot等协议传输的木马。
按木马运行层次,可分为应用级木马和内核级木马。应用级木马,工作在操作系统Ring 3级,由于计算机底层的操作系统中的程序、库以及内核都未受影响,这种木马对系统的影响相对较小。典型的应用级木马有:Bingle、网络神偷、ZXshell、灰鸽子等。内核级木马,运行在操作系统内核中,常采用驱动程序技术实现内核级木马的加载工作。内核级木马与一般检测工具一样运行在系统内核,隐蔽性较高,查杀难度大,是当前的主流发展趋势。
根据木马程序对计算机的具体动作方式,还可以把现在的木马程序分为以下几类:
1.远程控制型:远程控制型木马是现今最广泛的特洛伊木马,这种木马起着远程监控的功能,使用简单,只要被控制主机联入网络,并与控制端客户程序建立网络连接,控制者就能任意访问被控制的计算机。这种木马在控制端的控制下可以在被控主机上做任意的事情,比如键盘一记录,文件上传/下载,截取屏幕,远程执行等。
2.密码发送型:密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。
3.键盘记录型:键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里进行完整的记录。这种木马程序随着Windows系统的启动而自动加载,并能感知受害主机在线,且记录每一个用户事件,然后通过邮件或其他方式发送给控制者。
4.毁坏型:大部分木马程序只是窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动删除受控主机上所有的.ini或.exe文件,甚至远程格式化受害者硬盘,使得受控主机上的所有信息都受到破坏。
5.FTP型:FTP型木马打开被控主机系统的21号端口(FTP服务所使用的默认端口),使每一个人都可以用一个FTP客户端程序来不要密码连接到受控制主机系统,并且可以进行最高权限的文件上传和下载,窃取受害系统中的机密文件。
(三)木马的特性分析
一个典型的特洛伊木马(程序)通常具有以下四个特点:有效性、隐蔽性、顽固性和易植入性。以从这四个方面来加以评估一个木马的危害大小和清除难易程度。它们是:
1.有效性:由于木马常常构成网络入侵方法中的一个重要内容。它运行在目标机器上就必须能够实现入侵者的某些企图,因此有效性就是指入侵的木马能够与其控制端(入侵者)建立某种有效联系,从而能够充分控制目标机器并窃取其中的敏感信息。
2.隐蔽性:木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己,进而被杀毒(或杀马)软件,甚至用户手工检查出来,这样将使得这类木马变得毫无价值。
3.木马顽固性就是指有效清除木马的难易程度。若一个木马在检查出来之后,仍然无法将其一次性有效清除,那么该木马就具有较强的顽固性。
4.易植入性:显然任何木马必须首先能够进入目标机器(植入操作),因此易植入性就成为木马有效性的先决条件。
(四)木马病毒的危害
木马程序的危害非常大,它能使远程用户获得本地计算机的最高操作权限,通过网络对本地计算机进行任意的操作,比如删添程序、锁定注册表、获取用户保密信息、远程关机等。木马使用户的电脑完全暴露在网络环境之中,成为别人操纵的对象。
木马不仅破坏计算机及计算机网络,而且对其进行控制,并窃取或篡改重要信息,不断对网络安全造成严重的破坏。另外,木马还被许多不法分子用作犯罪工具,造成巨大的经济损失,甚至扰乱社会治安。
据国际著名风险管理公司公布的调查结果显示,在2007年,病毒、蠕虫和特洛伊木马等恶意程序或混合型攻击共给全球造成了1690亿美元的经济损失。同时它预计,全球约有6亿部Windows计算机,每部计算机因遭受攻击而带来的经济损失大约在281美元到340美元之间。
二、木马病毒的防范及清除
(一)阻断木马的网络通信
通过网络监控发现网络通信的异常并阻断木马的网络通信,或者定义各种规则,使木马无法进行网络通信。防火墙、入侵检测(Intrusion Detection)以及入侵保护(Intrusion Protection)是这类技术的典型。它们对网络通信的端口及网络链接作了沿革的限制和严密的监控,发现并拦截任何未经允许的网络连接或者通信端口的使用,并向用户报警。此外,入侵检测还能探测网络流量中潜在的入侵和攻击。而入侵保护在此基础上又增加了主动阻断功能,目前的入侵保护系统产品在性能和数据包的分析能力上比入侵检测系统产品都有了质的提升。
(二)监控网络端口
特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口。特别地是,如果这个端口正好是特洛伊木马常用的端口,木马入侵的证据就更加确定了,一旦发现,应当尽快切断该机器的网络连接,减少攻击者探测和进一步攻击的机会。打开任务管理器,关闭所有连接到Internet的程序,例如Email程序,IM程序等,从系统托盘上关闭所有正在运行的程序。特征码技术最初被应用于反病毒,后亦用于反木马,它被作为检测这些非法程序的最基本的技术沿用至今,也是目前各类反病毒软件普遍采用的主要技术。
(三)实时监控
“实时监控”从文件、邮件、网页等多个不同的角度对流入、流出系统的数据进行过滤,检测并处理其中可能含有的非法程序代码。与其它技术相比,它在反病毒、反木马等方面体现出实时性的特点,能较明显地减少甚至完全避免由非法程序带来的危害。
在上网时,必须运行反木马实时监控程序,实时监控程序可即时显示当前所有运行程序并配有相关的详细描述信息。另外,也可以采用一些专业的最新杀毒软件、个人防火墙进行监控。
(四)根据木马病毒行为分析进行防范
行为分析就是根据程序的动态行为特征(如在注册表设置自启动项等)判断其是否可疑。目前,病毒、木马等非法程序的种类迅速增加、变化不断加快,带来的危害日益严重,而特征码的提取又必然滞后于非法程序出现,根据国际著名的信息安全厂商熊猫软件公司的技术文献,从某种特征码未知的非法程序出现,到研究出它的检测和清除方法,通常会相隔72个小时甚至更多的时间。因而急需这样一种技术:能在特征码提取之前,检测特征码未知的非法程序,以有效的阻止其进行破坏,更大程度地降低损失。行为分析正是具有可检测特征码未知的非法程序的特点,所以成为目前国内外反病毒、反木马等领域研究的热点。
(五)控制对注册表的访问
注册表是许多木马进行隐蔽运行、隐蔽启动的工具。对注册表的访问进行控制,可使许多木马程序无法把自己加载到注册表进行启动或隐蔽自己的运行。许多木马是通过修改注册表进行恶意操作的,限制对注册表操作,木马就不能对系统作出恶意的危害操作。禁止或控制对注册表的常用的自启动项、木马常用的关联项启动项、木马常用来启动的其它特殊项、木马进行提高权限的一些特殊项进行访问,就能够破坏一部分木马的隐蔽启动、运行条件,那么木马就无法植入到目标系统。
(六)其他预防策略
对于网上下载的软件在安装、使用前一定要用反病毒软件进行检查,最好是专门查杀木马程序的软件进行检查,确定没有木马程序后再执行、使用。现在,很多木马程序附加在邮件的附件之中,收邮件者一旦点击附件,它就会立即运行。所以千万不要打开那些不熟悉的邮件,特别是标题有点乱的邮件,这些邮件往往就是木马的携带者。
三、结论
随着计算机技术的不断发展,木马植入方式、隐蔽技术也将不断的变化。互联网的广泛应用,将会有越来越多的新型木马得到及时广泛的传播,给计算机网络的安全构成严重的威胁。计算机病毒的迅速变异及发展,同时也要求防病毒措施和手段也不断更新,而且要求查杀病毒的同时,注重病毒的预防,进行病毒行为的分析来达到预防的目的。
参考文献:
[1]江民科技,2006年上半年十大病毒及疫情报告,http://www.jiangmin.
com,2006.8.
[2]邓吉,黑客攻防实战入门(第2版),北京:电子工业出版社,2007:175-191.
[3]傅建明、彭国军,计算机病毒分析与对抗,武汉:武汉大学出版社,2004:222-241.
[4]康治平、向宏,特洛伊木马隐藏技术研究及实践,计算机工程与应用,2006,13(9):137-139.
[5]孙淑华、马恒太,后门植入、隐藏与检测技术研究,计算机应用研究,2004(7):78-81.