摘 要:摘要:随着计算机技术的飞速发展和网络应用的日益普及,木马病毒给信息安全技术带来严峻的考验。本文就木马病毒的定义、特征等入手,提出应对的查杀及防范措施。
关键词:关键词:木马;特征;防范措施
中图分类号:TP393.08 文献标识码:A 文章编号:
1.木马病毒的定义
木马,通常网络上称为“木马病毒”,全称为特洛伊木马程序,英文叫Trojan horse。木马病毒是一种基于远程控制的恶意程序,它未经授权在后台与黑客们的计算机之间建立起隐性连接,使黑客们能够在远程端访问和控制用户的计算机。
在RFC1244(RFC:Request For Comments,又可称为“请求评议”,它包含了Internet重要的文字资料)中是这样描述木马的:“木马程序是一种程序,它能提供一些有用,或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能,例如在你不了解的情况下拷贝文件或窃取你的密码。”
2.木马病毒的危害
木马具有以下危害:一是窃取用户密码;二是自动变种繁衍病毒;三是恶意控制用户电脑;四是破坏系统严重影响电脑使用操作;五是威胁用户数据文件安全。
电脑一旦中上木马,它就成为黑客的傀儡,对方可以在你的电脑上上传下载文件,偷窥私密文件,偷取密码口令信息,你的所有秘密将暴露在别人面前,隐私将不复存在。
3.木马病毒的基本特征
随着编写技术的不断提高,木马病毒的种类和数量也日见其增,但它们之间往往都具有以下一些共同的基本特征:
3.1隐匿性
隐匿性是所有病毒的首要特征,作为病毒的一种,木马也必须要隐藏在系统里,费尽心机让用户无法察觉。它的隐蔽性主要体现在两个方面:一是不在系统任务栏中产生提示性的图标;二是将自身隐藏在系统中,无声无息地启动运行。
3.2自启动
木马病毒会植入到系统的注册表、启动组和ini等系统初始化配置文件之中,这样在电脑系统启动时,木马病毒就能随之一并启动运行。
3.3伪装术
木马常常需要进行伪装,以达到其隐匿的目的。比如伪装成正常的程序或文件夹,或者伪装成“dll”、“sys”等系统文件,或者借助一些相似度很高的字符,如将字母“l”替换成数字“1”、字母“O”替换成数字“0”等方法。还有些木马将自己绑定在正常的程序上面,伪装成一个新的程序。当用户下载并运行这些被绑定过的程序时,电脑系统就会被木马神不知鬼不觉地侵入了。而且木马的伪装手段还在不断地研究、发掘,越来越隐蔽,越来越专业。
3.4自我恢复
现在的木马病毒一般都采用了多重备份机制,能够自我保护,相互恢复。一旦没有完全清除干净,就很有可能死灰复燃,卷土重来。
3.5监听
当连接网络时,木马病毒就会通过监听特别的端口,接收执行远程端发来的命令,从而控制你的计算机;或者通过监听键盘,在不经意间窃取你的密码口令信息。
4.木马的防范措施
综上所述,木马病毒越来越狡猾,也越来越有危害性,但是再狡猾的狐狸也斗不过好猎手,我们可以通过木马运行留下的蛛丝马迹,将它防于千里之外。
4.1查
(1)查系统自启动
一般来说系统自启动的有三种方式:
一是系统启动配置文件,如ini系统配置文件和程序启动组等。系统常用的ini文件有boot.ini、win.ini、system.ini等,木马一般会将自己添加到这些配置文件的启动选项中,或者直接将木马添加到启动组中。
二是注册表。
在系统注册表中一般有五个启动项,分别是:
;
木马常常在这些项中增加键值,以实现其自动加载的目的。
三是系统服务,木马还会将自己伪装成windows服务添加到系统中,有的还直接伪装成系统正常的进程服务。
如果在以上系统自启动方式中发现添加了一些可疑程序,就极有可能已经被加载了木马。此外木马也有可能伪装成系统程序,最惯用的伎俩就是用一些相似度很高的字符,如用数字“1”来替换字母“l”,用数字“0”来替换字母“o”,将“Explorer”变成自己的程序,这些细微的改变如果不仔细观察是很难被发现。
(2)查系统开放端口
根据因特网通讯协议(TCP/IP),每台计算机都有65536个系统端口。一些远程控制木马通过监听某些特别的端口,接收并执行黑客们从远程控制端发来的命令。例如鼎鼎大名的冰河使用的监听端口是7626。
我们可以通过一些命令行程序查看电脑开放端口,如系统自带的Netstat命令,FPORT程序等。我们还可以通过现在的安全防护软件,这些软件一般都集成了端口查看功能,如QQ电脑管家,360安全卫士等,通过这些软件查看开放端口操作更简洁内容更直观也更全面。
以电脑管家为例,通过工具箱中的网络连接模块,我们可以很直观的看到所有系统进程的名称、其所使用的本地和远程端口,以及监听状态等。如果检查发现系统开放了一些特别的端口,就很可能是木马病毒在后台进行监听。
(3)查网络通讯
此外,还有一些木马不通过端口监听而是利用ICMP协议来与远程控制端进行通讯的,如果仅仅检查系统开放端口是无法发现其踪迹的。我们可以通过监听网络通讯来发现它,以电脑管家为例,我们可以通过工具箱中的流量监控进行监听,从中我们可以很清楚的看到当前所有访问网络的程序名称、进程连接以及访问的网络数据流量大小。如果发现一些可疑程序一直在访问网络,并有异常的网络通讯数据,就有可能是木马在后台运行。
(4)杀
由于木马编写技术的不断发展进步,木马都带有自我保护机制,很难通过以往的手工删除进行清除。用户最好通过专业的杀毒软件或者下载一些专门的木马查杀工具,定期查杀。用户一定要及时更新杀毒软件的查杀引擎和病毒库,及时获知新流行木马的信息,掌握其预防和查杀方法。
4.3防
随着网络的普及,木马的传播越来越快,而且新的变种层出不穷,我们在检测清除它的同时,更要注意采取措施来预防它。
(1)建立良好的安全习惯。不运行任何来历不明的软件,不随意打开邮件附件。现在很多木马病毒都是通过绑定在其他的软件中来实现传播的,因此在打开前一定要用使用防病毒软件进行扫描,这样
可以有效识别和清除木马文件。
(2)安装专业的安全软件。安装专业的防病毒软件、网络防火墙等安全软件,并打开实时防护功能,对计算机进行全面监控,定期查杀,防止安全性未知的程序的运行。
(3)更新必要的安全补丁。据统计,有80%以上的病毒是通过系统安全漏洞进行传播的,很多木马也都是通过系统漏洞来进行攻击的,所以应及时下载更新系统的安全补丁,修复系统漏洞,防患于未然。
参考文献:
[1] 颜会娟,秦杰. 基于行为分析的木马检测系统[J]. 网络安全技术与应用. 2010(08)
[2] 辛淑霞. 解析木马病毒及其防范措施[J]. 电脑编程技巧与维护. 2010(14)
[3] 李焕洲,唐彰国,钟明全,张健. 基于行为监控的木马检测系统研究及实现[J]. 四川师范大学学报(自然科学版). 2009(03)