据有关部门公布的资料显示,2008年新增木马数量将突破100万,预计2010年木马数量更有可能呈几何级数增长,达到千万以上。而据某一反病毒厂商公布的统计结果分析,当前用户最为关注的木马和病毒排行榜前十名中,有九个是木马,一个是集黑客、蠕虫、木马于一身的混合型病毒。由于木马威胁日趋严重,业已取代传统病毒成为网络安全的头号大敌,加之木马和病毒也呈现出一体化的趋势,因此反病毒厂商对木马和病毒已经不作严格区分,而是按统一规则命名,并给以更高的关注程度。由于木马工作机制的隐蔽性和窃取信息的便利性,使其成为黑客手中天然的“间谍工具”,在近几年发生的一些网络失泄密案件中,木马是窃密者的重要作案工具之一。因此,了解木马的基本原理和掌握其防治措施,已经成为信息时代每一名保密工作者的一项紧迫任务。
木马的原理
木马通常由一个隐秘运行在目标计算机中的服务端程序和一个运行在黑客计算机中的控制端程序组成,是一种特殊的远程控制软件。远程控制软件本来是网络管理员为便于管理分散于不同地域计算机而经常采用的一种远程管理工具,木马除具有此种工具的所有功能外,它还具有“不死术”(驻留技术),木马进入目标计算机后,会自动修改注册表或系统配置文件,在系统每次启动时,都会自动加载自身运行。它具有“隐身术”(隐藏技术),将自身文件伪装成系统文件或取一个类似系统文件的名字安身于系统文件夹中,其运行时在任务栏和任务管理器中都毫无踪迹,处于完全隐形状态。它具有“遥控术”(远程控制技术),木马运行后会打开一个特殊的端口,与控制端发生联系,并接受控制端的指令,远程遥控目标计算机。当黑客要利用木马进行网络入侵时,一般都需完成“向目标计算机传播木马”->“启动和隐藏木马”->“服务端(目标计算机)和控制端建立连接”->“进行远程控制”等几个步骤。
计算机感染木马后,只要用户上网在线,服务端就会立即通知控制端,黑客在控制端可以登录到用户的计算机上,并取得控制权,从事远程控制活动。这些活动包括:任意读写、查找、删除目标计算机中的文件,从中窃取用户账户密码、机密资料等信息;自动记录目标计算机的键盘击键输入内容,或者控制鼠标、键盘、光驱等设备;修改注册表或其他系统配置文件,使得木马开机后自动运行;监视屏幕,黑客可以实时监测目标计算机屏幕上的所有内容;如果目标计算机带有麦克风,黑客能打开它并窃听周围的声音;如果目标计算机带有摄像头,黑客能打开观察周围的情况,从而看清受害者的真实面孔。总之,木马对用户隐私的威胁极其严重,凡是用户在计算机前所说、所做的一切,都有可能被记录。计算机一旦中了木马,犹如“恶鬼附身”,生杀予夺的大权就交给了黑客,成为一具“行尸走肉”。更为可怕的是,黑客控制目标计算机后,将其作为“肉鸡”,冒充受害者发送邮件、进行网上聊天、网上交易等欺骗活动,使受害者蒙受不白之冤或遭受更大损失。黑客还可将“肉鸡”作为攻击跳板,然后隐藏在背后操纵成千上万的“肉鸡”向网络服务提供商、大型企业、政府部门等发动Dos攻击,造成更大的破坏和社会影响。
木马的骗术
由于普通木马并不像病毒那样具备传染性,因此要想驻留目标计算机,黑客必须采取欺骗的方式,千方百计地诱使用户运行木马。木马程序伪装的对象,一类是图片、文本、音频和视频等非可执行文件。用户通常认为这类文件不是可执行程序因而视之为无害。木马程序将自身图标更换为这类文件的图标,并起一个极具诱惑性的文件名,再使用类似“txt.exe、jpg.exe”这样的双重后缀名,利用Windows系统默认不显示已知类型文件后缀的特性,造成用户错误地判断该文件不是可执行文件,然后不假思索地加以点击,从而达到欺骗运行的目的。木马程序还会将文件后缀名改为pif、scr等用户不常见的可执行文件后缀名,骗取用户点击运行。木马另一类伪装的对象是合法软件。木马伪装成合法软件,通常借助文件合并工具。文件合并工具是可以将两个或两个以上的可执行文件结合为一个文件,以后只需执行这个合并文件,两个可执行文件就会同时执行。如果黑客将一个合法文件和一个木马合并,由于执行合并文件时宿主文件会正常执行,所以受害者不会觉察木马也同时被执行了。此外,有的木马还会将自身伪装成应用软件的扩展组件,然后挂在一个常用软件中,由于很少有人会怀疑这些常用软件的安全性,当受害者运行这些软件时,木马会同时执行,因此这种木马更加隐蔽和难以查杀。
那么这些伪装的文件又是怎么传播到受害者的计算机中去的呢?主要是通过以下几种途径。
一是通过不良链接传播。在一些网站、论坛、博客等信息发布平台,黑客会故意散布一些用户感兴趣的链接,诱骗用户访问不良网站或点击下载含有木马的文件。
二是通过即时通信工具传播。在MSN、QQ等聊天中,一些套近乎的陌生人发送的文件中很可能含有木马。
三是通过电子邮件传播。黑客批量发送垃圾邮件,将木马藏于附件中,收信人只要查看邮件附件就会中招。
四是通过下载网站传播。一些非正规的网站以提供免费软件下载为名,将木马捆绑在软件中。当用户下载安装使用这些软件时,木马也随之被安装进了系统。
五是通过网页浏览传播。也就是当前流行的“网页挂马”。如果说前几种传播途径尚需受害者“主动”地安装木马,“网页挂马”则会让用户在浏览网页的同时“被动”地植入了木马,其原理是利用浏览器漏洞编写带有木马的网页,或者攻破其他知名网站后,在其网页上挂上木马,当用户浏览这些网页时,浏览器会在后台自动下载木马到目标计算机中并加以运行。
六是通过系统漏洞传播。黑客利用所了解的操作系统或软件漏洞及其特性在网络中主动传播木马,其原理和蠕虫病毒如出一辙。
七是通过盗版软件传播。一些用户在计算机中安装的盗版操作系统,本身就带有木马,在这样的系统中工作和上网,安全性自然得不到任何保证。当前一些盗版的应用软件虽然打着免费的旗号,但多数也不太“干净”,要么附有广告,要么带有木马或病毒。
木马的进化
在反病毒厂商对木马围追堵截的同时,木马的制作技术也在不断进步,并呈现出新的特点。
一是病毒、木马一体化。当前,病毒和木马在技术上互相借鉴,在功能上互相融合,在传播上互相配合,有的恶意程序同时具有病毒和木马的特征,难以明确区分是病毒或是木马。病毒恐怖的传播性和木马灵活的可控性结合起来,使得二者混合而成的“怪胎”具有更加严重的危害性。
二是编制目的明确化。过去,黑客编写和传播木马的目的,多数是为了窥探他人的隐私或恶作剧,而当前木马已经基本商业化,其目标直指目标计算机中的有用信息,以捞取实际的经济利益,并已经形成了一条黑色产业链。着眼于窃取文件资料的木马,则以“摆渡”木马为典型代表,其工作机制能够跨过内外网之间的物理障碍,是各级涉密部门必须重点关注和防范的对象。
三是隐蔽效果深入化。端口一直是木马难以掩盖的“尾巴”,但很多用户深受木马之害以后,已经学会查看端口,并主动关闭不常用端口。当前,一些木马利用重用端口、反向连接和利用不开端口的协议进行通讯,摆脱了对单个端口的依赖,隐身效果更加明显。此外,木马还多处借鉴病毒的隐蔽措施,在运行中暴露的踪迹更少,更难以被追踪,很多受害者遭受侵害后,在很长一段时间内都很难觉察到潜伏的木马。
四是传播方式主动化。与以往诱骗用户运行木马那种“被动”的传播方式相比,当前木马的传播普遍采用“主动”出击的方式,力图在最短的时间内控制更多的目标计算机。病毒的传播方式已经被木马完全借鉴,“网页挂马”和利用漏洞、电子邮件等已经成为木马传播的重要手段。
木马的防治
当反病毒软件发出木马警告或怀疑系统有木马时,应尽快采取措施,减少损失。第一步,要赶快拨掉网线,断开控制端对目标计算机的连接控制。第二步,换一台计算机上网,马上更改所有的账号和密码,特别是与工作密切相关的应用软件、网上银行、电子邮箱等,凡是需要输入密码的地方,都要尽快变更密码。第三步,备份被感染计算机上的重要数据后,格式化所有硬盘,重装系统。第四步,对备份的数进行杀毒和木马清除处理。
鉴于木马危害的严重性,一旦感染,损失在所难免,因此,治理木马应当以防为主。在平时工作中,注意以下几点能大大减少木马的侵入。
一是要借助工具软件关闭不常用端口,特别是要关闭那些经常被流行木马利用的端口,在一定程度上能起到预防的作用。
二是要及时打上操作系统的补丁,并经常升级常用的应用软件,因为不但操作系统存在漏洞,应用软件也存在漏洞,并已经开始被木马大量地利用。
三是要安装反病毒软件和防火墙,最好再安装一套专门的木马防治软件,并及时升级代码库。虽然普通反病毒软件也能防治木马,但在查杀效率和效果上赶不上专业的木马防治软件。
四是不要浏览不健康、不正规的网站,这些网站都是“网页挂马”的高发地带,访问这些网站如闯雷区非常危险。
五是尽量使用正版软件,不要到不明软件下载网站去下载盗版软件使用。
六是不要打开来历不明的邮件,即使对于朋友的邮件也不要轻信,打开附件前必须经过杀毒处理。
七是不要轻易打开陌生人在即时通信工具中发来的文件。
八是不要点击论坛、博客等信息发布平台网页上的不明链接。
