防范木马和蠕虫攻击的措施

根据中国国家计算机病毒应急处理中心最新发布的统计报告显示，在发生危害的程序中，木马占将近45%，蠕虫占25%，计算机病毒占35%，因此，防范木马与蠕虫是计算机安全防范的重点工作。

【任务描述】

雅鹿公司电商专员小王接受了一项新任务：负责检查计算机系统中的木马。请帮助小王完成此任务。

【任务分析】

本任务涉及的知识点有两个：（1）木马和蠕虫的工作原理；（2）预防木马和蠕虫的方法。

【知识准备】

1.计算机病毒、木马与蠕虫的相同点

木马独有的特征是伪装成正常的应用程序，骗取用户的信任而入侵，潜伏在电脑中盗取用户资料与信息。木马与计算机病毒有两点本质的区别：木马不会自动传染，而计算机病毒会自动传染；木马是窃取用户资料，而计算机病毒是破坏计算机系统及文件，造成数据上不可逆转的损坏。

蠕虫具有不利用文件寄生的特征（存在于计算机内存中），蠕虫能利用计算机系统漏洞主动进行攻击，通过网络（主要以电子邮件、恶意网页的形式）迅速传播，可以在很短的时间内蔓延整个网络，造成整个互联网瘫痪性的后果。

计算机病毒、木马与蠕虫的共同特征是自我复制、传播、破坏计算机文件。蠕虫是一种通过网络传播的恶性病毒，它与计算机病毒有一些共性，如传播性、隐蔽性、破坏性等。蠕虫和计算机病毒都具有传染性和复制性，尤其是近年来，越来越多的计算机病毒采取了部分蠕虫技术，而具有破坏性的蠕虫也采取了部分计算机病毒技术。

思政元素6

2.计算机病毒、木马与蠕虫的不同点

计算机病毒、木马与蠕虫的区别如表2-5所示。

表2-5　计算机病毒、木马与蠕虫的区别

计算机病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发者，是传染的关键环节；而蠕虫是利用计算机系统漏洞进行传染的，在搜索到网络中存在漏洞的计算机后进行主动攻击。病毒传染的过程与计算机操作者是否进行操作无关。

【任务实施】

1.了解木马的隐身术

1）木马隐藏的主要途径

（1）木马隐藏在启动程序中。木马会隐藏在操作系统的启动程序中，启动组对应的文件夹为“C：＼windows＼startmenu＼programs＼startup”，在注册表中的位置为“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersionExplorer＼ShellFolders Startup＝‘C：＼windows＼startmenu＼programs＼startup’”。

（2）木马隐藏在应用程序中。木马是一个服务器/客户端程序，为了不被用户轻易地删除，木马常常和某一应用程序捆绑在一起，然后上传到服务器并覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被自动安装。

（3）木马隐藏在配置文件中。操作系统的“Config.sys”配置文件也是木马的藏身之处，而且利用配置文件的特殊作用，木马很容易就能在计算机中运行。

（4）木马隐藏在“Win.ini”中。“Win.ini”是Windows系统的一个基本系统配置文件。打开“Win.ini”文件，在该文件的[windows]字段中有启动命令“load＝”和“run＝”。在一般情况下，“＝”后面是空白的，如果有后跟程序，例如，“run＝c：＼windows＼file.exe load＝c：＼windows＼file.exe”，这个“file.exe”很可能是木马程序。

（5）木马隐藏在普通文件中。通过文件捆绑机，就能将木马与普通文件捆绑在一起，对于Windows操作者，只要打开被捆绑的文件，木马就被激活运行。例如，把可执行文件伪装成图片或文本——在程序中把图标改成Windows的默认图标，再把文件名改为“*.jpg.exe”，由于Windows的默认设置是“不显示已知的文件后缀名”，文件将会显示为“*.jpg”，当使用者单击这个图标时，即激活木马运行。

（6）木马隐藏在注册表中。由于操作系统的注册表比较复杂，木马常常喜欢隐藏在这里。例如，木马通常会隐藏在“HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion”下所有以“run”开头的键值、“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion”下所有以“run”开头的键值、“HKEY-USERS＼.Default＼Software＼Microsoft＼Windows＼CurrentVersion”下所有以“run”开头的键值。

木马文件很像系统自身文件，通过伪装蒙蔽使用者，如“Acid Battery v1.0木马”，将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer＝“C：WINDOWSexpiorer.exe”，木马与真正的Explorer之间只有“i”与“l”的差别。

【动手做一做】

通过regedit命令打开注册表编辑器，找到“HKEY-LOCAL-MACHINESoftwareMicrosoft WindowsCurrentVersionRun”目录，查看键值中有没有自己不熟悉的自动启动文件，扩展名为“exe”。

（7）木马隐藏在“System.ini”中。Windows安装目录下的“System.ini”也是木马喜欢隐藏的地方，在该文件的[boot]字段中，正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，有“shell＝Explorer.exe file.exe”这样的内容，这里的“file.exe”就是木马服务器程序。另外，在“System.ini”的[386Enh]字段，要注意检查此段内的“driver＝路径＼程序名”，这里也有可能被木马所利用。例如，“System.ini”中的[mic]、[drivers]、[drivers32]这3个字段起到加载驱动程序的作用，所以此处也是木马的藏身之处。

（8）木马隐蔽在“Winstart.bat”中。“Winstart.bat”文件也是一个能自动被Windows加载运行的文件，它在多数情况下由应用程序及Windows自动生成，在执行了“Win.com”并加载了多数驱动程序之后开始执行。由于“Autoexec.bat”的功能可以由“Winstart.bat”代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

2.了解木马的工作原理

木马是一种计算机黑客用于远程控制计算机的程序，一旦进入就会驻扎在计算机里，随着计算机的运行而自动运转，并对目标计算机进行特殊的操作，一般是窃取密码和重要文件，对控制计算机实施监控和资料修改等操作。

木马若要正常工作，必须由客户端程序和服务器程序建立网络通信，这种通信是基于IP地址和端口号的。隐藏在服务器中的木马一旦被触发，就会不断将通信的IP地址和端口号发给客户端，客户端利用服务器发出的信息与服务器建立一条通信线路，最终通过这条线路控制服务器中的计算机。绝大多数木马的客户端和服务器通信协议使用的是TCP/IP协议，也有部分使用UDP协议进行通信。

常见的普通木马是安装在用户计算机里的一段服务程序，而攻击者控制的则是相应的客户端程序。服务程序通过特定的端口，打开用户计算机的连接资源。一旦攻击者所掌握的客户端程序发出请求，木马便和它连接起来，将用户的信息窃取出去。这种连接方法叫作主动连接，如图2-78所示。

图2-78　木马服务器和控制台

在通常情况下，服务器的木马首先要伪装成合法的程序，以隐藏自己的行踪；然后通过修改注册表设置触发条件，保证自己可以被执行，一旦发现自己的注册表被修改或删除就能自动修复。

3.了解木马的传播方式

木马的传播方式比较多，主要有以下几种：

（1）利用文件下载进行传播。木马感染了要下载的文件，当下载文件到本地计算机系统，用户打开文件时，木马会自动植入计算机中。

（2）利用系统漏洞进行传播。木马主动寻找计算机系统中存在的漏洞，偷偷开启后门，可随时入侵。

（3）利用电子邮件进行传播。感染了木马的邮件一旦被打开，木马就被激活。

（4）利用远程连接进行传播。

（5）利用网页进行传播。

（6）利用网络蠕虫进行传播。

4.识别钓鱼网站

如今，网上购物已成为人们的生活习惯，网上商城也多如牛毛，随之而来的各种诈骗网站防不胜防。那么，应该如何识别钓鱼网站呢？

钓鱼网站往往会仿冒知名网站，比如仿冒淘宝网、京东商城等电子商务网站。首先检查网站的域名，确认打开的网站是否是正规的网站，仿冒网站的域名与正规网站的域名存在细微差别，往往是一字之差。

如果在购物过程中收到卖家发来的链接，或QQ好友发来的网站链接，或者在浏览网页时弹出来的购物窗口链接，就需要验证链接的真实性，仔细观察网站地址、页面是否是官方网站，如图2-79所示。

图2-79　验证网站的真实性

在不能准确识别钓鱼网站的情况下，一定要谨慎操作，切记不要登录账号，否则账号密码容易泄露。

5.蠕虫的防范

1）蠕虫的定义

蠕虫是指“通过计算机网络进行自我复制的恶意程序，泛滥时可以导致网络阻塞和瘫痪”。从本质上讲，蠕虫和计算机病毒的最大区别在于蠕虫是通过网络进行主动传播的，而计算机病毒需要用户的手工干预（如各种外部存储介质的读写）。

蠕虫有多种形式，包括系统漏洞型蠕虫、群发邮件型蠕虫、共享型蠕虫、寄生型蠕虫和混和型蠕虫。系统漏洞是滋生蠕虫的温床，系统漏洞型蠕虫利用客户机或者服务器的操作系统、应用软件的漏洞进行传播，是目前最具有危险性的蠕虫。由于系统漏洞型蠕虫利用了软件系统在设计上的缺陷，并且它们的传播都利用现有的业务端口，因此传统的防火墙对其几乎无能为力。以“冲击波”蠕虫为例，它就是利用Microsoft RPC DCOM缓冲区溢出漏洞进行传播的。系统漏洞型蠕虫传播快、范围广、危害大。例如，2001年“红色代码”蠕虫的爆发给全球带来了20亿美金的损失，而SQL Slammer只在10分钟内就传遍了世界各地。

近5年来针对微软操作系统漏洞的5个最著名的蠕虫：红色代码、SQL Slammer、冲击波、震荡波、Zobot。这5个蠕虫都是臭名昭著的蠕虫，其中Zobot到2005年12月还在网络上肆虐。SQL Slammer（2003年）是一款DOS恶意程序，它利用SQL Server的弱点采取阻断服务攻击1434端口，并在内存中感染SQL Server，通过被感染的SQL Server大量地散播阻断服务攻击与感染，造成SQL Server无法正常作业或宕机，使网络拥塞。

2）防范蠕虫

防范蠕虫可采取以下5个措施：

（1）为操作系统勤打补丁。一般来说，一个操作系统漏洞被发现后，大概在15天以内相关的病毒就会出现，因此有必要随时关注操作系统的补丁升级情况，养成每天定时查看补丁升级的习惯。这里的补丁不仅包括操作系统自身的补丁，也包括其他应用程序的补丁，例如ftp服务器的补丁等。

（2）设置运行权限。很多蠕虫感染的条件是root级运行的进程出现漏洞，这时蠕虫才有权限进行上载、执行，在Windows操作系统中大多数后台进程是以Administrator权限执行的，蠕虫带来的危害也相当大；在Linux操作系统下可设置非关键进程，以使用普通用户或以chroot方式避免权限提升。

（3）关闭不必要的服务。尽量少开计算机服务，以最小化风险。

（4）安装并配置好防火墙。防火墙只允许特定端口的数据包通过，即只允许特定程序访问网络。

（5）对感染蠕虫的计算机主机进行隔离和恢复，防止蠕虫泛滥。

【动手做一做】

清除通过U盘传播的“recycler”蠕虫，清除步骤如下：

（1）打开“我的计算机”，选择“工具”→“查看”选项，把“文件夹”选项改为“显示受保护的系统文件”，显示所有文件，显示扩展名，因为后面要删除的wincfgs.exe的属性是隐藏的，所以通过普通查看的方式是找不到的。

（2）打开“任务管理器”，找到“wincfgs.exe”进程，停用该进程。

（3）打开“msconfig”（“开始”→“运行”→“msconfig”），去掉“wincfgs.exe”。

（4）打开注册表（“开始”→“运行”→“regedit”），查找“wincfgs.exe”，找到下列选项：

“HKLM＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Windows”（其中Load＝“C：＼windows＼system32＼wincfgs.exe”删除）；

“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼SharedTools＼MSConfig＼startupreg＼Load”（删除）；

“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼ShellNoRoam＼MUICache”（删除）；

（5）查找“C：/windows/KB20060111.exe和c：/windows/system32/wincfgs.exe”并删除。

实验二　网络扫描与监听

一、实验目的

（1）了解TCP/IP模型的层次结构；

（2）了解TCP/IP协议的内容；

（3）能够抓取并分析一次完整通信的数据包；

（4）能够对TCP/IP协议抓包的检测结果进行分析；

（5）能够利用SNIFFER进行网络流量检测；

（6）掌握防范网络监听的方法。

二、实验准备

（1）使用的工具软件：VMware软件、Sniffer pro软件。

（2）TCP/IP协议知识：

①TCP/IP模型包括4个层次：应用层、传输层、网络层、主机到网络层。

a.传输层提供了TCP和UDP两种传输协议：

TCP是面向连接的、可靠的传输协议。它把报文分解为多个段进行传输，在目的站重新装配这些段，必要时重新发送没有收到的段。

UDP是无连接的传输协议，由于对发送的段不进行校验和确认，因此它是“不可靠”的。(www.xing528.com)

b.网络层的主要协议为IP协议。IP协议规定了数据传输时的基本单元和格式。如果以货物运输为喻，IP协议规定了货物打包时的包装箱尺寸和包装的程序。除此以外，IP协议还定义了数据包的递交办法和路由选择。同样用货物运输作比喻，IP协议规定了货物的运输方法和运输路线。

②网络监听原理。TCP/IP协议的工作方式为将要发送的数据帧发往物理连接在一起的所有主机。帧头包含应该接收数据包的主机的地址。数据帧到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，并检查数据帧帧头中的地址字段，如果数据帧携带的物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，否则就将这个帧丢弃。对于每个到达网络接口的数据帧，都要进行这个过程。

当主机工作在监听模式下时，不管数据帧的目的地址是什么，所有的数据帧都将被交给上层协议软件处理。只能监听同一个网段的主机。这里“同一个网段”是指物理上的连接，因为不是同一个网段的数据包，所以网关就被滤掉了，传不到该网段来。

网络监听原本是网络管理员使用的一个工具，主要用来监视网络的流量、状态、数据等信息。它对网络上流经自己网段的所有数据进行接收，从中发现用户的有用信息。

三、实验过程

任务一　使用Sniffer软件抓包分析ICMP协议

本任务需在小组合作的基础上完成。每个小组由两个成员组成，两台计算机相互之间通信，通过Sniffer软件截取通信数据包，分析数据包，完成工作内容。填写“小组情况表”，如表2-6所示。

表2-6　小组情况表

（1）通过ipconfig命令获取本机的IP地址，并填写“小组情况表”。

（2）定义过滤器。运行Sniffer软件，选择“系统”→“捕获”→“定义过滤器”选项，弹出“定义过滤器-捕获”对话框，将“高级”选项卡设置为“IP→ICMP”，如图2-80所示。

图2-80　“定义过滤器-捕获”对话框

（3）执行“捕获”命令开始抓包。从本机ping小组另一位成员的计算机，截取ping过程中的通信数据，如图2-81和图2-82所示。

图2-81　ping对方的计算机

图2-82　截取ping过程中的通信数据

（4）分析截取的由于第（3）步操作而从本机发送到目的机的数据帧中的IP数据报文，填写表2-7。

表2-7　IP数据报文

任务二　开启telnet服务，使用Sniffer软件截取telnet操作中的通信数据

1.开启telnet服务

（1）用鼠标右键单击“我的计算机”图标，选择“管理”→“服务和应用程序”→“服务”→“telnet”选项，用鼠标右键单击“telnet”项，单击“属性”→“启动类型”→“自动”→“应用”→“服务状态”→“启动”→“确定”按钮即可。

（2）关闭防火墙。用鼠标右键单击屏幕右下角网络图标并选择“更改Windows防火墙设置”→“关闭”选项。

同时对同伴的计算机进行操作：单击“控制面板”→“Windows防火墙”→“高级”→“telnet”→“确定”按钮。

（3）为administrator用户设置密码。用鼠标右键单击“我的计算机”图标，选择“管理”→“本地用户和组”选项，用鼠标右键单击“administrator”用户，选择“设置密码”选项，在密码设置好后，单击“确定”按钮。

2.使用Sniffer软件截取操作中的通信数据

从本机通过telnet命令远程登录本小组另一位成员的计算机，然后使用“dir”文件目录查看命令，查看对方C盘根目录下的文件系统结构，最后使用exit命令退出，如图2-83所示。

使用Sniffer软件分析截取的由第（1）步操作从本机发送到目的机的数据帧中的TCP数据报文，如图2-84所示。

图2-83　使用“dir”文件目录查看命令

图2-84　用Sniffer软件分析截取的数据帧中的TCP数据报文

将分析结果记录在表2-8中。

表2-8　TCP数据报文

续表

四、实验报告

撰写实验报告，交流实验心得体会。

课后习题二答案

一、填空题

1.计算机病毒的4个特点是：________、________、________、________。

2.在Windows 7中，取消IPC＄默认共享的操作是______________________________。

3.在命令提示符下输入“NET USER ADMIN 123456/ADD”的含义是___________________________________________。

4.防火墙主要有________、________、________3种类型。扫描方式可以分成________和________两大类。

5.__________是基于主机之上，对系统中不合适的设置、脆弱的密码及其他同安全规则抵触的对象进行检查。

6.一次成功的攻击可以归纳成基本的5个步骤，即“黑客攻击五部曲”，分别为________、________、获得系统或管理员权限、种植后门和在网络中隐身。

课后练习题（二）

二、选择题

1.以下不是漏洞扫描的主要任务的是（　　）。

A.查看错误配置

B.弱密码检测

C.发现网络攻击

D.发现软件

2.为了防御网络监听，最常用的方法是（　　）。

A.采用物理传输（非网络）

B.信息加密

C.无线网

D.使用专线传输

3.用于检查Windows系统中弱口令的安全工具是（　　）。

A.L0phtCrack

B.COPS

C.SuperScan

D.Ethereal

4.“冲击波”蠕虫利用Windows的（　　）系统漏洞

A.SQL中的空口令漏洞

B.“.ida”漏洞

C.Microsoft RPC DCOM缓冲区溢出漏洞

D.WebDav漏洞

5.（　　）就是通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。

A.扫描

B.入侵

C.踩点

D.监听

6.对非连续端口进行的、源地址不一致、时间间隔长、没有规律的扫描，称为（　　）。

A.乱序扫描

B.慢速扫描

C.有序扫描

D.快速扫描

7.以下属于SSL协议电子商务活动的一个典型应用是（　　）。

A.TLS

B.HTTPS

C.EJB

D.WPA

三、简答题

1.网络黑客的主要攻击手段有哪些？如何防范？

2.如何查看本地计算机开放端口？139端口、445端口的作用是什么？如何关闭这两个端口？