计算机病毒防治TCSP认证第十二讲 特洛伊木马.ppt

TROJ_WIDGET.046 1. 用户从互联网 下载免费软件 特洛伊木马防范措施 防范措施 1）使用正版防毒软件，并及时更新防毒病毒码； 2）及时打上系统和软件补丁； 3）不要访问色情、黑客等不良网站； 4）不要轻易相信“朋友”发来的链接和程序，对于下载的软件应该先查毒，然后才能运行； 5）陌生人的邮件勿轻易打开； 6）定期更新密码，尤其是银行账号、游戏账号等的密码； 7) 使用防毒软件定期扫描系统。 对于企业用户而言还应做好以下几点： 1）加强网络管理，关闭不必要的网络端口和应用； 2）使用网络版的防毒软件，可以进行全网管理； 3）加强用户安全意识教育； 4）做好安全监控和病毒事件应急响应； 5）监控Web服务器是否挂马，有条件者可以寻求专业防毒机构和专业人士的支持。 谢谢！ * Chapter 1: Introduction to Computer Viruses and Malware * Chapter 1: Introduction to Computer Viruses and Malware 本章概要 本章内容主要是特洛伊木马的知识，包括： 木马的概念 木马的危害 木马的隐藏和传播技术 典型木马分析与防范措施 本章目标 通过本章学习，学员应该了解特洛伊木马病毒的概念、攻击隐藏技术、防范措施等，了解如何解决处理计算机木马病毒。 特洛伊木马简史 特洛伊木马传说 古希腊传说，特洛伊王子帕里斯访问希腊，诱惑走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。 特洛伊木马病毒概念 特洛伊木马(Trojan)病毒： 是指隐藏在正常程序中的一段具有特殊功能的恶意代码 是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序 特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未经授权，通常是恶意的操作。 木马的组成 一个完整的木马程序由两部分组成 特洛伊木马的演变 第一代木马 ：伪装型病毒 通过伪装成一个合法性程序诱骗用户上当 第二代木马 ：AIDS型木马 利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾 特洛伊木马的演变 第三代木马：网络传播型木马 随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还添加了“后门”和击键记录等功能。 所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。 击键记录的功能功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。 特洛伊木马简史 特洛伊木马的类型 破坏型 密码发送型 远程访问型 键盘记录木马 DoS攻击木马 代理木马 FTP木马 程序杀手木马 反弹端口型木马 破坏型木马 破坏并且删除文件 删除DLL、INI、EXE文件 密码发送型 查找相关密码 发送指定邮件（控制者） 获取密码的方法： 搜索密码文件 记录键盘操作 暴力破译加密文件 远程访问型 只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。 利用程序可以实现观察“受害者”正在干什么 可用于计算机远程监控和远程排错等操作 键盘记录木马 记录受害者的键盘敲击并且在LOG文件里查找密码 随着Windows启动 同时具有邮件发送功能 DoS攻击木马 入侵一台机器 将该计算机做为DoS攻击的平台，也称为肉鸡 攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失 邮件炸弹木马 一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止 代理木马 黑客在入侵的同时掩盖自己的足迹 给被控制的肉鸡种上代理木马 攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序 FTP木马 功能就是打开21端口，等待用户连接 对端口进行加密，只有攻击者本人才知道正确的密码，从而进入对方计算机 程序杀手木马 关闭对方机器上运行的防木马程序 让其他的木马更好地发挥作用。 反弹端口型木马 服务端 (被控制端)使用主动端口 客户端 (控制端)使用被动端口 木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在 80，即使用户使用扫描软件检查自己的端