木馬病毒是指隱藏在正常程式中的一段具有特殊功能的惡意代碼,是具備破壞和刪除檔案、傳送密碼、記錄鍵盤和攻擊Dos等特殊功能的後門程式。木馬病毒其實是計算機黑客用於遠程控制計算機的程式,將控制程式寄生於被控制的計算機系統中,裡應外合,對被感染木馬病毒的計算機實施操作。一般的木馬病毒程式主要是尋找計算機後門,伺機竊取被控計算機中的密碼和重要檔案等。可以對被控計算機實施監控、資料修改等非法操作。木馬病毒具有很強的隱蔽性,可以根據黑客意圖突然發起攻擊。
基本介紹
- 中文名:木馬病毒
- 外文名:Trojan
- 類型:計算機惡意代碼
- 目的:毀壞、竊取被種者的檔案
- 特點:隱蔽性、欺騙性等
- 危害:獲取或破壞相關信息
含義,發展歷程,原理,種類,特徵,傳播方式,偽裝方式,危害,木馬防範,
含義
計算機木馬病毒是指隱藏在正常程式中的一段具有特殊功能的惡意代碼,是具備破壞和刪除檔案、傳送密碼、記錄鍵盤和攻擊Dos等特殊功能的後門程式。
木馬程式表面上是無害的,甚至對沒有警戒的用戶還頗有吸引力,它們經常隱藏在遊戲或圖形軟體中,但它們卻隱藏著惡意。這些表面上看似友善的程式運行後,就會進行一些非法的行動,如刪除檔案或對硬碟格式化。
完整的木馬程式一般由兩部分組成:一個是伺服器端.一個是控制器端。“中了木馬”就是指安裝了木馬的伺服器端程式,若你的電腦被安裝了伺服器端程式,則擁有相應客戶端的人就可以通過網路控制你的電腦。為所欲為。這時你電腦上的各種檔案、程式,以及在你電腦上使用的賬號、密碼無安全可言了。
發展歷程
第四代, 在進程隱藏方面有了很大改動,採用了核心插入式的嵌入方式,利用遠程插入執行緒技術,嵌入DLL執行緒。或者掛接PSAPI,實現木馬程式的隱藏,甚至在Windows NT/2000下,都達到了良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬。
第五代,驅動級木馬。驅動級木馬多數都使用了大量的Rootkit技術來達到在深度隱藏的效果,並深入到核心空間的,感染後針對防毒軟體和網路防火牆進行攻擊,可將系統SSDT初始化,導致防毒防火牆失去效應。有的驅動級木馬可駐留BIOS,並且很難查殺。
第六代,隨著身份認證UsbKey和防毒軟體主動防禦的興起,黏蟲技術類型和特殊反顯技術類型木馬逐漸開始系統化。前者主要以盜取和篡改用戶敏感信息為主,後者以動態口令和硬證書攻擊為主。PassCopy和暗黑蜘蛛俠是這類木馬的代表。
原理
木馬病毒通常是基於計算機網路的,是基於客戶端和服務端的通信、監控程式。客戶端的程式用於黑客遠程控制,可以發出控制命令,接收服務端傳來的信息。服務端程式運行在被控計算機上,一般隱藏在被控計算機中,可以接收客戶端發來的命令並執行,將客戶端需要的信息發回,也就足常說的木馬程式。
木馬病毒
木馬病毒運行在服務端的木馬程式首先隱匿自己的行蹤,偽裝成合法的通信程式,然後採用修改系統註冊表的方法設定觸發條件,保證自己可以被執行,並且可以不斷監視註冊表中的相關內容。發現自己的註冊表被刪除或被修改,可以自動修復。
種類
一、網遊木馬
網路遊戲木馬通常採用記錄用戶鍵盤輸入、Hook遊戲進程API函式等方法獲取用戶的密碼和帳號。竊取到的信息一般通過傳送電子郵件或向遠程腳本程式提交的方式傳送給木馬作者。網路遊戲木馬的種類和數量,在國產木馬病毒中都首屈一指。流行的網路遊戲無一不受網遊木馬的威脅。一款新遊戲正式發布後,往往在一到兩個星期內,就會有相應的木馬程式被製作出來。大量的木馬生成器和黑客網站的公開銷售也是網遊木馬泛濫的原因之一。
二、網銀木馬
網銀木馬通常針對性較強,木馬作者可能首先對某銀行的網上交易系統進行仔細分析,然後針對安全薄弱環節編寫病毒程式。2013年,安全軟體電腦管家截獲網銀木馬最新變種“弼馬溫”,弼馬溫病毒能夠毫無痕跡的修改支付界面,使用戶根本無法察覺。通過不良網站提供假QVOD下載地址進行廣泛傳播,當用戶下載這一掛馬播放器檔案安裝後就會中木馬,該病毒運行後即開始監視用戶網路交易,禁止餘額支付和快捷支付,強制用戶使用網銀,並藉機篡改訂單,盜取財產。
三、下載類
這種木馬程式的體積一般很小,其功能是從網路上下載其他病毒程式或安裝廣告軟體。由於體積很小,下載類木馬更容易傳播,傳播速度也更快。通常功能強大、體積也很大的後門類病毒,如“灰鴿子”、“黑洞”等,傳播時都單獨編寫一個小巧的下載型木馬,用戶中毒後會把後門主程式下載到本機運行。
四、代理類
五、FTP木馬
FTP型木馬打開被控制計算機的21號連線埠(FTP所使用的默認連線埠),使每一個人都可以用一個FTP客戶端程式來不用密碼連線到受控制端計算機,並且可以進行最高許可權的上傳和下載,竊取受害者的機密檔案。新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進入對方計算機。
六、通訊軟體類
常見的即時通訊類木馬一般有3種:
(1)傳送訊息型
(2)盜號型
(3)傳播自身型
2005年初,“MSN性感雞”等通過MSN傳播的蠕蟲泛濫了一陣之後,MSN推出新版本,禁止用戶傳送執行檔。2005年上半年,“QQ龜”和“QQ愛蟲”這兩個國產病毒通過QQ聊天軟體傳送自身進行傳播,感染用戶數量極大,在江民公司統計的2005年上半年十大病毒排行榜上分列第一和第四名。從技術角度分析,傳送檔案類的QQ蠕蟲是以前傳送訊息類QQ木馬的進化,採用的基本技術都是搜尋到聊天視窗後,對聊天視窗進行控制,來達到傳送檔案或訊息的目的。只不過傳送檔案的操作比傳送訊息複雜很多。
七、網頁點擊類
特徵
(1)隱蔽性。
木馬病毒可以長期存在的主要因素是它可以隱匿自己,將自己偽裝成合法應用程式,使得用戶難以識別,這是木馬病毒的首要也是重要的特徵。與其它病毒一樣,這種隱蔽的期限往往是比較長的。經常採用的方法是寄生在合法程式之中、修改為合法程式名或圖示、不產生任何圖示、不在進程中顯示出來或偽裝成系統進程和與其它合法檔案關聯起來等。
(2)欺騙性。
木馬病毒隱蔽的主要手段是欺騙.經常使用偽裝的手段將自己合法化。例如,使用合法的檔案類型後綴名“dll、sys,ini’'等;使用已有的合法系統檔案名稱,然後保存在其它檔案目錄中;使用容易混淆的字元進行命名,例如字母“o”與數字“0”,數字“1”與字母“i”。
(3)頑固性。
木馬病毒為了保障自己可以不斷蔓延,往往像毒瘤一樣駐留在被感染的計算機中,有多份備份檔案存在,一旦主檔案被刪除,便可以馬上恢復。尤其是採用檔案的關聯技術,只要被關聯的程式被執行,木馬病毒便被執行,並生產新的木馬程式,甚至變種。頑固的木馬病毒給木馬清除帶來巨大的困難。
(4)危害性。
木馬病毒的危害性是毋庸置疑的。只要計算機被木馬病毒感染,別有用心的黑客便可以任意操作計算機,就像在本地使用計算機一樣,對被控計算機的破壞可想而知。黑客可以恣意妄為,可以盜取系統的重要資源,例如:系統密碼、股票交易信息.機要數據等。
傳播方式
木馬病毒的傳播方式比較多,主要有:
(1)利用下載進行傳播,在下載的過程中進入程式,當下載完畢打開檔案就將病毒植入到電腦中;
(2)利用系統漏洞進行傳播,當計算機存在漏洞,就成為木馬病毒攻擊的對象;
(3)利用郵件進行傳播,很多陌生郵件裡面就摻雜了病毒種子,一旦郵件被打開,病毒就被激活;
(4)利用遠程連線進行傳播;
(5)利用網頁進行傳播,在瀏覽網頁時會經常出現很多跳出來的頁面,這種頁面就是病毒駐紮的地方;
(6)利用蠕蟲病毒進行傳播等。
偽裝方式
鑒於木馬病毒的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑制作用,這是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目的。
1、修改圖示
當你在E-MAIL的附屬檔案中看到這個圖示時,是否會認為這是個文本檔案呢?但是我不得不告訴你,這也有可能是個木馬程式,已經有木馬可以將木馬服務端程式的圖示改成HTML,TXT,ZIP等各種檔案的圖示,這有相當大的迷惑性,但是提供這種功能的木馬還不多見,並且這種偽裝也不是無懈可擊的,所以不必整天提心弔膽,疑神疑鬼的。
2、捆綁檔案
這種偽裝手段是將木馬捆綁到一個安裝程式上,當安裝程式運行時,木馬在用戶毫無察覺的情況下,偷偷的進入了系統。至於被捆綁的檔案一般是執行檔(即EXE,COM一類的檔案)。
3、出錯顯示
有一定木馬知識的人都知道,如果打開一個檔案,沒有任何反應,這很可能就是個木馬程式,木馬的設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程式時,會彈出一個錯誤提示框(這當然是假的),錯誤內容可自由定義,大多會定製成一些諸如“檔案已破壞,無法打開的!”之類的信息,當服務端用戶信以為真時,木馬卻悄悄侵入了系統。
木馬入侵
木馬入侵4、定製連線埠
很多老式的木馬連線埠都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的連線埠就知道感染了什麼木馬,所以很多新式的木馬都加入了定製連線埠的功能,控制端用戶可以在1024-65535之間任選一個連線埠作為木馬連線埠(一般不選1024以下的連線埠),這樣就給判斷所感染木馬類型帶來了麻煩。
5、自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的檔案後,木馬會將自己拷貝到WINDOWS的系統資料夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),一般來說原木馬檔案和系統資料夾中的木馬檔案的大小是一樣的(捆綁檔案的木馬除外),那么中了木馬的朋友只要在收到的信件和下載的軟體中找到原木馬檔案,然後根據原木馬的大小去系統資料夾找相同大小的檔案,判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後,原木馬檔案將自動銷毀,這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工具幫助下,就很難刪除木馬了。
6、木馬更名
安裝到系統資料夾中的木馬的檔案名稱一般是固定的,那么只要根據一些查殺木馬的文章,按圖索驥在系統資料夾查找特定的檔案,就可以斷定中了什麼木馬。所以有很多木馬都允許控制端用戶自由定製安裝後的木馬檔案名稱,這樣很難判斷所感染的木馬類型了。
危害
木馬病毒對計算機的直接破壞方式是改寫磁碟,對計算機資料庫進行破壞,給用戶帶來不便。當木馬破壞程式後,使得程式無法運行,給計算機的整體運行帶來嚴重的影響。另外一些木馬可以通過磁碟的引導區進行,病毒具有強烈的複製功能,把用戶程式傳遞給外部連結者。還可以更改磁碟引導區,造成數據形成通道破壞。病毒也通過大量複製搶占系統資源,對系統運行環境進行干擾,影響計算機系統運行速度。
隨著網際網路事業的發展,木馬看中了電子商務,在一些網路購物上掛一些木馬程式,當用戶點擊時,很容易進入用戶系統,當用戶使用網路銀行時。通過網上竊取銀行的密碼,之後盜取用戶財務,給計算機用戶造成巨大的經濟損失。在一些特殊的領域,木馬被用做攻擊的手段,如政治、軍事、金融、交通等眾多領域,成為一個沒有硝煙的戰場,利用木馬侵入對方,獲取相關信息或者進行破壞。
木馬防範
1、檢測和尋找木馬隱藏的位置
木馬侵入系統後,需要找一個安全的地方選擇適當時機進行攻擊,了解和掌握木馬藏匿位置,才能最終清除木馬。木馬經常會集成到程式中、藏匿在系統中、偽裝成普通檔案或者添加到計算機作業系統中的註冊表中,還有嵌入在啟動檔案中,一旦計算機啟動,這些木馬程式也將運行。
2、防範連線埠
檢查計算機用到什麼樣的連線埠,正常運用的是哪些連線埠,而哪些連線埠不是正常開啟的;了解計算機連線埠狀態,哪些連線埠目前是連線的,特別注意這種開放是否是正常;查看當前的數據交換情況,重點注意哪些數據交換比較頻繁的,是否屬於正常數據交換。關閉一些不必要的連線埠。
3、刪除可疑程式
對於非系統的程式,如果不是必要的,完全可以刪除,如果不能確定,可以利用一些查殺工具進行檢測。
4、安裝防火牆
防火牆在計算機系統中起著不可替代的作用,它保障計算機的數據流通,保護著計算機的安全通道,對數據進行管控可以根據用戶需要自定義,防止不必要的數據流通。安裝防火牆有助於對計算機病毒木馬程式的防範與攔截。
5、相關部門加強整治木馬產業鏈,完善相應的法律法規
現階段,我國存在著一些專業的服務集團,這些集團的存在可以組成一條比較完善的木馬產業鏈。相對於社會安全法律,針對計算機安全的企管科,也應該受到有關部門和主體的重視與管理,需要建立對應的健全的法律措施。在2017年,我國計算機受到惡意感染的數量減少了百分之二十六,移動網際網路惡意程式的數量也逐漸呈現出一種下降的趨勢。正是由於《網路安全法》的實施,在一定程度上抑制了惡意程式的擾民問題,該法律法規的頒布,從網路的角度來看,強化了一些基礎性網路設施的建設。因此,網際網路環境下,必須依靠全產業鏈的合作,強化每一條生產線上的管理工作,讓《網路安全法》能夠發揮出它應有的價值。
6、健全網站和網路遊戲的管理
網站和網路遊戲開發商要加大對於網站和網路遊戲的管理與監督,爭取從源頭上就阻止木馬病毒,讓它沒有擴散的機會,這是防範網頁病毒和網路遊戲的主要方式之一。另外,網路環境的和設備的日常維護、維修、管理工作都要加強,內容包括網站的伺服器每日檢查,伺服器內的數據和資料進行更新,操作、行為日誌的核查等工作過,還需要對伺服器的網路配置、安全配置等情況進行嚴格的檢查等。
7、增加網民的防範意識
我國計算機用戶正在快速的增長,部分用戶對於自身信息的保護意識不強,大部分用戶的計算機上都沒有安裝一些防毒軟體,或者是設定防火牆。他們應該深刻的意識到反病毒是一項長期且系統性的工作,主動了解這方面的相關知識,提高對於木馬病毒的防範措施。針對網站中攜帶的病毒問題,用戶還可以利用防火牆在木馬盜取用戶賬號、隱私之前,就將其攔截並殲滅。
