木马指的是隐藏在正常程序中的一段具有特殊功能的代码,实质上是一种远程控制软件,是一种未经授权,利用网络欺骗或者攻击的手段装入目标计算机中。木马用表面的有趣的、有用的功能来吸引人,但实际上暗含一些不为人知的功能,如复制文件、删除文件、修改计算机配置、浏览文件等。
木马通常有两个可执行的程序:一个是客户端,一个是服务端。黑客电脑上安装客户端,目标对象电脑上安装服务端,黑客在远端操作目标对象电脑,可以做各种操作。服务器端程序和控制器程序共同组成了完整的木马,其与病毒有着本质的区别,不具备传染性,不以破坏为主要目的,而是攻击者有目的地将其植入目标计算机进而通过网络对个人信息进行相关操作,危害存储在计算机中的文件、数据、程序等的安全,但是木马和病毒有着一些相同点,它十分隐蔽不易被人们发现,极具危害性,在短时间内可以使大片计算机系统瘫痪,也被人称为黑客病毒。
木马的工作原理
木马基于客户和服务器的远程控制黑客程序,控制者在服务器端通过有趣的应用骗取用户执行相应程序,将木马程序植入计算机系统内部,而在客户端黑客可以利用网络进行远程监控或者操作,获取计算机系统内部的信息。
典型的木马原理就是当服务器端在目标计算机上被执行后,木马打开一个默认的端口进行监听,当客户机向服务器提出连接要求,服务器上的相关程序就会自动运行来应答客户机的请求,服务器端程序与客户端建立连接后,由客户端发出指令,服务器在计算机中执行这些指令,将数据传递给客户端,进而就能够控制主机。
木马分类
常见的木马主要可以分为以下几大类:
- 破坏型
这种木马唯一的功能就是破坏并且删除文件,它们非常简单,很容易使用。能自动删除目标机上的dll、exe文件,所以非常危险,一旦被放入就会严重威胁到电脑的安全。不过,一般黑客不会做这种无意义的纯粹破坏的事,除非你和他有仇。
- 密码发送型
这种木马可以找到目标机的隐藏密码,并且在受害者不知道的情况下,把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用Windows提供的密码记忆功能,这样就可以不必每次都输入密码了。这类木马恰恰是利用这一点获取目标机的密码,它们大多数会在每次启动Windows时重新运行,而且多使用25号端口上送E-mail。如果目标机有隐藏密码,这些木马是非常危险的。
- 远程访问型
这种木马是现在使用最广泛的木马,它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序,客户端通过扫描等手段知道了服务端的1P地址,就可以实现远程控制。当然,这种远程控制也可以用在正道上,比如教师监控学生在机器上的所有操作。远程访问型木马会在目标机上打开一个端口,而且有些木马还可以改变端口、设置连接密码等,为的是只有黑客自己来控制这个木马。因为一些常见木马的监听端口已经为大家熟知,改变了端口,才会有更大的隐蔽性。
- 键盘记录木马
这种特洛伊木马非常简单。它们只做一件事情,就是记录受害者的键盘敲击并且在LQG文件里查找密码,并且随着Windows的启动而启动。它们有在线和离线记录这样的选项,可以分别记录你在线和离线状态下敲击键盘时的按键情况,也就是说你按过什么按键,黑客从记录中都可以知道,并且很容易从中得到你的密码等有用信息,甚至是你的信用卡账号哦!当然,对于这种类型的木马,很多都具有邮件发送功能,会自动将密码发送到黑客指定的邮箱。
- DoS攻击木马
随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当黑客入侵一台机器后,给他种上DoS攻击木马,那么日后这台计算机就成为黑客DoS攻击的最得力助手了。黑客控制的肉鸡数量越多,发动DoS攻击取得成功的机率就越大。 所以,这种木马的危害不是体现在被感染计算机上,而是体现在黑客利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
- FTP木马
这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进入对方计算机。
- 反弹端口型木马
木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的被动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自已的端口时,发现类似 TCP User IP:1026 Controller IP:80 ESTABLISHED的情况,稍微疏忽一点,就会以为是自已在浏览网页,因为浏览网页都会打开80端口的。
- 代理木马
黑客在入侵的同时掩盖自已的足迹,谨防别人发现自已的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自已的踪迹。
- 程序*手木马
上面的木马功能虽然形形色色,不过到了对方机器上要发挥自已的作用,还要过防木马软件这一关才行。常见的防木马软件有Zone Alarm,Norton Anti-Virus等。程序*手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用。
代理木马和程序*手木马实际上是其它类型的木马可能具有的功能,如很多远程访问型木马都可以使用代理服务器的方式连接肉机,而且连上肉机上首先检查对方不是开启了防火墙,如果有,则*掉其进程,这样更有利于黑客隐藏身份,从而实现远程控制的目的。
木马攻击的防御
预防木马攻击,应该采取以下措施
- 安装*毒软件和个人防火墙,并及时升级。
- 把个人防火墙设置好安全等级,防止未知程序向外传送数据。
- 可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
- 如果使用IE 浏览器,应该安装安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
- 不要执行任何来历不明的软件
- 不要随意打开邮件附件。现在绝大部分木马病毒都是通过邮件来传递的,而且有的还会连环扩散,因此对邮件附件的运行尤其需要注意。
- 重新选择新的客户端软件 很多木马病毒主要感染的是Microsoft 的OutLook 和OutLook Express 的邮件客户端软件,因为这两款软件全球使用量最大,黑客们对它们的漏洞已经洞察得比较透彻。如果选用其他的邮件软件,例如Foxmail 等,收到木马病毒攻击的可能性就将减小,至少不会反复感染给通信录中的好友。此外也可以直接通过Web方式来访问信箱,这样就能大大降低木马病毒的感染概率。
- 将资源管理器配置成始终显示扩展名将Windows 资源管理器配置成始终显示扩展名,一些文件扩展名为vbs 、shs 、pif 的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。
- 尽量少用共享文件夹如果因工作等原因必须将电脑设置成共享,则最好单独设置一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。
- 运行反木马实时监控程序木马防范重要的一点就是在上网时最好运行反木马实时监控程序,TheCleaner 等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外再加上一些专业的最新*毒软件、个人防火墙等进行监控基本就可以放心了。
- 经常升级系统和更新病毒库。经常关注微软和*毒软件厂商网站上的安全公告,这些网站通常都会及时地将漏洞、木马和更新公布出来,并在第一时间发布补丁和新的病毒库等。
感谢您的阅读,喜欢的话就转发并关注小编吧。
上一篇:
下一篇:
