学文网摘 要:互联网的发展给人类的生活带来便利,而与此同时也存在病毒的着潜在的威胁。本文从计算机病毒之特洛伊木马谈起,从其起源、定义、发展历史、和蠕虫的区别、分类等方面对特洛伊木马作初步探讨,以此来引出计算机病毒防护的重要性。
关键词:网络病毒;特洛伊木马;概述
特洛伊木马是一种典型的网络病毒,它以隐蔽的方式进入到目标机器,对目标机器中的私密信息进行收集和破坏,再通过互联网,把收集到的私密信息反馈给攻击者,从而实现其目的的一种新型病毒。
一、起源和定义
特洛伊木马的名字起源于希腊神话。相传公元前12世纪,古希腊大***围攻特洛伊城,但久攻不下,时人献计制造了高二丈的木马并将士兵藏于其中,后大部队佯装撤退而丢弃了木马,特洛伊城内之人拾得木马并拉回城中,无奈已中计,城自被攻破。于是后人就将这中木马称之为特洛伊木马,由于黑客程序在对计算机进行攻击时也具有一定的隐匿性,于是就借用了“特洛伊木马”一名。
目前对特洛伊木马还没有形成一致性的定义,但大多数专家都认为,特洛伊木马是一段能实现攻击者目的功能程序,同时也具有一定的潜在威胁。
二、发展历史
特洛伊木马的发展随着计算机技术的发展而不断革新,到现在为止已经发展到了第四代木马。
1.伪装性木马
它以一个合法性的程序作为“外衣”,从而让目标机器用户上当。第一木马应该算是PC-Write,该木马以Quicksoft公司的PC-Write的2.72版本为伪装,一旦用户认为该程序是真的并运行的话,硬盘将面临格式化的悲剧。如有的木马以用户某程序为伪装,提示用户输入相关的私人信息,同时又提示输入信息错误,但用户第二次输入时,信息已被套取。此时的木马还不具备传染性。
2、AIDS型木马
PC-Write出现于1986年,而AIDS则于1989年现身,此类木马以寄生邮件而进行传播,用户“中毒”后,硬盘被锁死,于是不得不花钱进行杀毒,攻击者因此而获利。1999年的“冰河”也算典型。冰河不但能对目标用户通过对目标屏幕的监控来掌握目标机器键盘、鼠标信息的录入、控制对方文件、注册表操作、还能获取对方信息、限制系统相关功能、向目标机器发出信息等,此时的木马已具备了一定的传播性,但还没有传染性。
3.网络型传播木马
这样叫是因为该木马是建立在Internet普及基础上同时具有伪装和传播功能的木马,它不但能以“后门”功能来躲过计算机安全系统来对目标机器进行攻击,还增加了键盘输入记录功能,破坏性更大,BO2000算是代表。
如今的木马已经发展到了注入式DLL木马和使用一般工具制作的木马,在隐匿性和传染性方面都增加的相应的功能,破坏性也随之增强。
三、与蠕虫的不同
计算机病毒是一种程序代码或指令,它能通过计算机软件或硬件的漏洞来对目标计算机数据进行窃取或破坏,具有传染性、隐匿性和衍生性、破坏性等特点,病毒的传染性是判别是否为病毒的重要标识。病毒的传播需要将自己的代码放置到别个程序的执行路径中才能进行,也需要进行自我复制。而蠕虫是不使用驻留文件也能在系统间进行复制的程序。木马则是一种远程黑客控制工具,是攻击者对目标机器进行的一种隐蔽而非授权的程序植入,不具备传染性。但随着计算机技术的发展,他们之间的区别也日益缩小,界限开始模糊。
四、分类
特洛伊木马在用途上各不相同,因此所属的类别也不尽相同,具体说了有:
1.密码发送型
该木马通过对目标机器的植入,能对目标主体所保存的密码进行搜索,然后发送给攻击者。该木马对密码的搜索一是通过对目标机器主体以文件形式保存的密码进行,二是对Windows提供的密码记忆功能进行。由于密码发送型的木马在制作上较为简单,成为了木马中较为流行的一种。因此,当使用计算机时,对个人相关信息切勿以文件形式进行保存或依赖Windows提供的密码记忆功能而进行记忆,这无疑给木马工具留下漏洞。
2.键盘记录型
它通过对目标机器主体使用键盘进行记录,然后在log中对密码进行搜索。这个木马通常情况下是随着系统的运行而启动的,且对用户键盘使用记录分为***和离线两种方式。换句话说,键盘记录型的木马能轻松的对机器使用者所使用过的键盘信息进行记录,从而获得用户相关信息。
3.Dos攻击型
这种木马最突出的特征就是它的传染性,它的攻击性不是表现在对一台目标机器的攻击上,而是攻击者能利用Dos攻击来形成传染攻击,从而对网络构成威胁。
4.型
之所以被称之为型,是该木马是通过给被控制的肉鸡种上木马,让其变成攻击者发动攻击的跳板。以crd为例,当目标机器感染了crd后,crd便自我复制到目标机器的系统目录下,随机生成文件名,对注册表进行修改,能自主进行开关机,根据攻击者要求从相关站点***相应的工具木马,从而实现对目标的攻击。典型的有“波宛”变种E和Win32.Troj.Agent.4627。
5.FIP和反弹端口型
FIP木马功能单一,即打开21端口等待用户连接;而反端口木马则是利用反弹端口原理逃过防火墙的拦截的木马,如Hack.Huigezi。
五、危害
特洛伊木马通过对目标机器的植入来控制、破坏对方数据,其危害性表现在:
1.窃取目标信息
各种木马都是以对目标机器的信息窃取为目的,无论是目标的秘密还是信息,都可以通过木马的搜索来完成,或者利用击键记录功能来进行记录,从而完成对信息的获取。
2.文件操作
木马植入目标机器后,攻击者利用远程控制完成对目标机器系统内文件的修改、删除等功能。
3.修改注册表
攻击者通过可控端对目标机器的注册表进行修改。
4.系统控制
即控制整个系统操作,包括系统的启动、关闭、网络连接、网络浏览和***等。
六、结构
完整的木马结构都是由硬件、软件和具体连接三部分来构成的:
1.硬件:即建立木马而必须的硬件实体,包括控制端、服务端和Internet。
2.软件:即对目标实现控制所需的程序,包括控制端程序、木马程序和配置程序。
3.具体连接部分:即通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素,包括控制端IP、控制端端口,木马端口。
随着计算机技术的不断发展,木马的种类也逐渐衍生,网络的普及也为木马的传播提供了条件,用户在使用计算机过程中,要做到有效的预防,可以如此进行:
1.安装杀毒软件进行查杀:目前瑞星、360、金山等杀毒软件都对特洛伊木马有一定的防护功能。但需要注意的是,杀毒软件的安装需在系统安装时进行,安装后要定时的进行病毒查杀和升级更新,在杀毒时最好是断开网络,在安全模式下查杀。
2.手动检测:这是用户根据特洛伊木马的相关特征进行的自主的对注册表、文件、端口等进行的检测。如:通过检测系统文件检查器的完整性来判断木马的存在与否。
当然,为减少木马对计算机的危害,首先还是要做到防患于未然,在系统使用中,通过浏览安全网站,不对怀疑性文件、程序进行使用,定期进行杀毒、更新和升级,相信木马也无法对用户进行侵害。
【参考文献】
[1]张凯.《浅析木马程序的消除与预防》[J].网络安全技术与应用.2002年02期.
[2]贺红艳,陶李.《新型特洛伊木马技术的研究》[J].网络安全技术与应用.2006年第11期.
[3]刘硕.《特洛伊木马浅析》[J].中国科技信息.2007年02期.