当今网络时代木马病毒及其防范措施.docVIP

当今网络时代木马病毒及其防范措施 　　文章编号：1672-5913(2009)10-0182-02 　　摘 要：当前，黑客利用加壳等技术手段使“工业化生产病毒”成为趋势，只要从网上下载加壳工具，就可以自动生产出病毒。而具有越来越明显盗窃特性的木马类病毒将更易给受害者造成直接损失。本文阐述了我国木马病毒的发展现状及特点，探讨了防范此类病毒的具体措施。 　　关键词：木马；病毒；安全防范 　　中图分类号：G642 　　文献标识码：A 　　 　　目前，病毒产业链越来越完善，从病毒程序开发、传播病毒到销售病毒，形成了分工明确的整条操作流程。黑客利用电脑病毒窃取的个人资料从QQ密码、网游密码到银行账号、信用卡帐号等等，包罗万象，任何可以直接或间接转换成金钱的东西，都成为黑客窃取的对象。通过分工明确的产业化操作，每天有数百甚至上千种病毒被制造出来，其中大部分是木马和后门病毒，占到全球该类病毒的三分之一左右。 　　 　　1认识木马病毒 　　 　　木马病毒是指寄生于用户计算机系统中，盗窃用户信息，并通过网络发送给木马设计者的病毒程序。木马通常有两个可执行程序：一个是客户端(Client)，即控制端，另一个是服务端(Server)，即被控制端。客户端程序用于远程控制计算机；而服务端程序，则隐藏到远程计算机中，接收并执行客户端程序发出的命令。所以当黑客通过网络控制一台远程计算机时，第一步就需要将服务端程序植入到远程计算机。为了能够让用户执行木马程序，黑客常常通过各种方式对它进行伪装。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。 　　 　　2几种常见的木马病毒 　　 　　(1) 反弹端口型木马：木马开发者分析了防火墙的特性后，发现防火墙对于连入的链接会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端) 使用被动端口。 　　(2) 信息窃取型/密码发送型：这种木马可以找到目标机的隐藏密码，并且在受害者不知道的情况下，把它们发送到指定的信箱。 　　(3) 键盘记录木马：这种木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。这种木马随着Windows 的启动而启动。 　　(4) 远程控制型：这种木马是现在使用最广泛的木马，它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序，客户端通过扫描等手段知道了服务端的IP地址，就可以实现远程控制。 　　(5)FTP木马：这种木马可能是最简单和古老的木马，它的唯一功能就是打开21端口，等待用户连接。 　　(6) 程序杀手木马：上面列举的木马功能虽然形形色色，要想在对方机器上发挥自己的作用，须绕过防木马软件。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他木马更好地发挥作用。 　　(7) 破坏型：唯一的功能就是破坏并且删除文件。可以自动的删除电脑上的DLL、INI、EXE文件。 　　(8) 代理木马：用户感染代理类木马后，会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目的。 　　 　　3木马病毒的传播途径 　　 　　(1) 通过E-mail：早期的木马，大多是通过发送电子邮件的方式把入侵主机信息告诉攻击者，有一些木马程序干脆把主机所有的密码用邮件的形式通知给攻击者，这样攻击者就不用直接连接攻击主机即可获得一些重要数据，如攻击OICQ密码的GOP木马。由控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马。 　　(2) 通过软件下载：一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会被自动安装了。 　　(3) 通过Script、ActiveX及ASP、CGI交互脚本的方式植入：由于IE 浏览器在执行Script脚本上存在安全漏洞，因此，木马就可以利用这些漏洞很容易植入被攻击的电脑。 　　(4) 利用一些系统漏洞植入，如著名的IIS服务器溢出漏洞：通过一个IISHACK 攻击程序使IIS服务器崩溃，同时在服务器上执行木马程序，从而植入木马。 　　(5) 通过移动存储设备(U盘等)：主要是依赖微软操作系统Windows的Autorun(自动运行)功能，使得计算机用户在双击打开U盘的时候，自动执行木马程序，进而感染计算机系统。 　　 　　4木马病毒的防范措施 　　 　　木马病毒越来越隐蔽，破坏性也越来越大，给人们的日常工作和生活甚至是国家安全都带来了巨大的影响。木马实质上