浅谈计算机木马

 [摘要] 随着网络的发展,越来越多的人们开始依赖网络。他们在享受网络带来的方便和快乐的同时,也受到木马等病毒的侵害。因此,从木马的本质、组成、传播途径以及攻击步骤等几个方面,全面介绍木马,使计算机用户更深层次地认识和预防木马,保障自己的切身利益。 
　　[关键词] 木马 传播途径 攻击步骤 
　　 
　　一、什么是木马 
　　木马本质上是一种经过伪装的欺骗性程序,它通过将自身伪装吸引用户下载执行,从而破坏或窃取使用者的重要文件和资料。 
　　木马程序与一般的病毒不同,它不会自我繁殖,也并不"刻意"地去感染其他文件,它是一种后台控制程序。它的主要作用是向施种木马者打开被种者电脑的门户,使其可以任意毁坏、窃取被种者的文件,甚至远程操控其电脑。 
　　二、木马的组成 
　　一个完整的木马系统以下几部分组成: 
　　1.硬件部分。建立木马连接所必须的硬件实体,一般由控制端、服务端和INTERNET三部分组成。 
　　2.软件部分。实现远程控制所必须的软件程序,主要包括控制端程序、木马程序和木马配置程序等。 
　　3.建立连接的必要元素。构建服务端和控制端连接所必须的元素。主要包括控制端IP、服务端IP、控制端端口以及木马端口等。 
　　三、木马的发展历史 
　　木马的发展大致经历了三个阶段,第一阶段的木马也叫伪装型病毒。这种木马通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马,它伪装成共享软件PC-Write的2.72版本,一旦用户运行该木马程序,硬盘被格式化。第二代木马叫AIDS型木马,它最早出现于1989年。虽然它不会破坏数据,但能将硬盘加密锁死,然后提示受感染用户往制定账户汇款以解除硬盘加密。随着Internet的普及,出现了兼备伪装和传播两种特征,并结合TCP/IP网络技术的第三代木马――网络传播性木马。这个阶段的木马已经具备了"后门"功能。所谓后门,就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装,攻击者就能绕过安全程序进入系统,收集系统中的重要信息;同时,第三代木马还具有键盘记录功能,记录用户所有的击键内容,形成包含用户重要信息的击键记录日志文件发送给种马者。这一代木马比较有名的有国外的BO2000(BackOrifice)和国内的冰河木马。它们的共同特点是:基于网络的客户端/服务器应用程序,具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。 
　　四、木马的传播途径 
　　1.通过电子邮件的附件传播。 
　　2.通过下载文件传播。主要通过两种方式:一种是直接把下载链接指向木马程序;另一种是将木马捆绑到需要下载的文件中。 
　　3.通过网页传播。木马程序加载在网页内,使浏览器自动下载并执行。 
　　4.通过聊天工具传播。 
　　 
　　五、木马攻击的步骤 
　　木马实现网络入侵大致可分为配置、传播、运行、信息泄露、连接建立和远程控制六步: 
　　 
　　1.配置木马 
　　一个设计成熟的木马,必须有木马配置程序,木马配置主要实现以下两方面功能: 
　　(1)木马伪装。木马配置程序为了在服务端尽可能的好的隐藏木马,通常采用以下几种伪装手段:①修改图标。将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,以迷惑网络用户。②捆绑文件。将木马捆绑到一个安装程序上,随着该程序的安装,木马被植入系统。③出错显示。当服务端用户打开木马程序时,弹出一个错误提示框,伴随用户的操作木马便植入系统。④定制端口。新式木马通过定制端口的手段,控制端用户可以在1024―65535之间任选一个数字作为木马端口,增大木马检测的难度。⑤自我销毁。新式木马安装后,原文件将自动销毁,木马的来源就很难找到,增大木马检测难度。⑥木马更名。新式木马更改植入系统的木马文件名,增大木马检测难度。 
　　(2)信息反馈。木马配置程序对信息反馈的方式或地址进行设置。 
　　2.传播木马 
　　木马的传播方式第四节已详细介绍。 
　　3.运行木马 
　　木马在服务端自动安装,设置触发条件后,就可启动运行。木马的运行方式主要包括以下几种: 
　　(1)自启动激活木马 
　　①在C:WINDOWS目录下的配置文件system.ini中设置命令行启动木马。②控制端用户与服务端建立连接后,将已添加木马启动命令的文件上传到服务端覆盖C盘根目录下的Autoexec.bat和Config.sys。③启动菜单:在"开始――程序――启动"选项下也可能有木马的触发条件。 
　　(2)触发式激活木马 
　　①通过修改打开HTML,EXE,ZIP等文件启动命令的键值来启动。②捆绑文件:控制端用户将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除,只要运行捆绑木马的应用程序,木马将再次被安装。③自动播放式:修改AutoRun.inf中的open命令来指向木马程序。 
　　4.信息泄露 
　　成熟的木马都有一个信息反馈机制。所谓信息反馈机制,是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。从反馈信息中控制端可以知道服务端的一些软硬件信息,其中最重要的是服务端的IP,获取参数,控制端方可与服务端建立连接。 
　　5.建立连接 
　　木马连接的建立必须满足以下条件:一是服务端已安装木马程序;二是控制端和服务端都必须接入网络;三是获取服务端IP地址。 
　　获得服务端IP地址的方法主要有两种:信息反馈和IP扫描。信息反馈前面已经介绍,这里主要介绍IP扫描的过程。其过程如下:控制端扫描IP地址段中相应木马端口号开放的主机,并将该主机的地址记入IP地址列表,同时向该主机发出连接信号,服务端木马程序收到信号后立即作出响应,控制端收到响应信号后,开启一个随即端口并与服务端木马端口建立连接。 
　　6.远程控制 
　　控制端与木马程序建立连接后,通过木马程序对服务端进行远程控制。控制端可以窃取的权限有以下几种: 
　　(1)窃取密码。通过键盘记录功能,窃取用户的各种密码或侦测一切以明文形式或者存储在CACHE中的密码。 (2)文件操作。控制端由远程控制对服务端上的文件进行删除、篡改、上传等一系列操作。(3)修改注册表。控制端可任意修改服务端注册表,包括删除,新建或修改主键、子键键值,甚至锁住服务端的注册表。(4)系统操作。对服务端操作主要包括重启或关闭操作系统、断开网络连接以及控制鼠标或键盘等。 
　　六、结束语 
　　目前,针对木马的检测和清除技术在不断地提高,但是木马的变更手段也日益猖狂,正所谓"道高一尺魔高一丈"。在计算机的游戏规则中,总是先有木马出现,才有查杀和清除木马的方法。作为一个新时代的计算机用户,只有深入地了解木马的攻击手段,不断积累经验,才能尽量减少木马造成的损失,给自己创造一个良好的网络生活方式。 
　　参考文献: 
　　[1]张友生.计算机病毒与木马程序剖析.北京:科海电子出版社,2003. 
　　[2]陈什云.黑客攻防对策.清华大学出版社,2002. 
　　[3]Donald L.Pipkin著.朱崇高译.拦截黑客-计算机安全入门(第二版).清华大学出版社,2003. 
　　[4]张仁斌,李钢,侯整风.计算机病毒与反病毒技术.清华大学出版社,2006. 
　　[5]李旭光.计算机病毒-病毒机制与防范技术.重庆大学出版社,2002.