首页 理论教育 大学信息技术应用:解读和防御木马病毒

大学信息技术应用:解读和防御木马病毒

时间:2023-11-16 理论教育 版权反馈
【摘要】:木马病毒是一种危害性极大的恶意程序。这些不正常现象表明:计算机很可能中了木马病毒。

大学信息技术应用:解读和防御木马病毒

木马(也称为特洛伊木马)病毒是一种危害性极大的恶意程序。它可以窃取数据,篡改、破坏数据和文件,释放病毒,执行远程非法操作者的指令,甚至可以使系统自毁。但不容易被用户发觉,如在用户不知晓的情况下拷贝文件或窃取密码。

1.木马病毒发作特性

在使用计算机的过程中如果发现:计算机反应速度发生了明显变化,硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭,新的窗口被莫名其妙地打开,网络传输指示灯一直在闪烁,没有运行大的程序,而系统却越来越慢,系统资源占用很多,或运行了某个程序没有反映,或在关闭某个程序时防火墙探测到有邮件发出……

这些不正常现象表明:计算机很可能中了木马病毒。

简单地说,凡是人们能在本地计算机上操作的功能,木马程序基本上都能实现。

2.基于动作的木马病毒类型

(1)远程控制型是木马病毒的主流,一般由被控端和控制端两部分组成。被控端的任务是隐藏在被控主机的系统内部,并打开一个监听端口,等待着攻击的时机,当接收到来自控制端的连接请求后,主线程立即创建一个子线程并把请求交给它处理,同时继续监听其他的请求。控制端的任务是发送命令,并接收返回信息。

木马病毒运行时先运行服务端程序,同时获得远程主机的IP地址,控制者就能任意访问被控制端的计算机,从而使远程控制者在本地计算机上做任意想做的事情。

(2)信息窃取型。其目的是收集系统上的敏感信息,例如用户登录类型、用户名、口令、帐号、密码等。

这种木马一般不需要客户端,运行时不会监听端口,只悄悄地在后台运行,一边收集敏感信息,一边不断检测系统的状态。一旦发现系统已经连接到Internet上,就在受害者不知情的情形下将收集的信息通过一些常用的传输方式(如电子邮件、ICQ、FTP)把它们发送到指定的地方。

(3)键盘记录型。键盘记录型木马只做一件事情,就是记录受害者的键盘敲击,并完整地记录在LOG文件中。

(4)毁坏型。毁坏型木马以毁坏并删除文件(如受害者计算机上的.dll、.ini或.exe)为主要目的。

3.木马程序的特征

(1)非授权性与自动运行性。一旦控制端与服务端建立连接后,控制端将窃取用户密码,获取大部分操作权限,如修改文件、修改注册表、重启或关闭服务端操作系统、断开网络连接、控制服务端鼠标和键盘、监视服务端桌面操作、查看服务端进程等。这些权限不是用户授权的,而是木马自己窃取的。

(2)隐藏性和欺骗性。隐藏是一切恶意程序的存在之本。而木马为了获得非授权的服务,还要通过欺骗进行隐藏。

(3)可预置性。木马程序可以在系统软件和应用软件的文件传播中被植入,也可以在系统或软件设计时被故意放置进来。例如,微软曾在其操作系统设计时故意放置了一个木马程序,可以将客户的相关信息发到其总部。(www.xing528.com)

(4)非自繁殖性与非自动感染性。一般说来,病毒具有极强的传染性,而木马虽然可以传播,但本身不具备繁殖性和自动感染的功能。

4.木马病毒传播方式

木马的传播都是先进行伪装或改头换面,如利用exe文件绑定将木马捆绑在小游戏上,或将木马的图标直接改为html,txt,jpg等文件的图标,然后进行传播。

(1)手工放置。手工放置比较简单,是最常见的做法。手工放置分本地放置和远程放置两种。本地放置就是直接在计算机上进行安装。远程放置就是通过常规攻击手段使获得目标主机的上传权限后,将木马上传到目标计算机上,然后通过其他方法使木马程序运行起来。

(2)以邮件附件的形式传播。控制端将木马改头换面后,然后将木马程序添加到附件中,发送给收件人。

(3)通过ICQ对话,利用文件传送功能发送伪装了的木马程序。

(4)将木马程序捆绑在软件安装程序上,通过提供软件下载的网站(Web/FTP/BBS)传播。

(5)通过病毒或蠕虫程序传播。

(6)通过U盘、活动磁盘或光盘等移动存储介质传播。

5.木马病毒举例

主要的木马病毒有SURFSPY、EXEBIND、SCANDRIV、NCALRPC、WAY20、OICQ.KEY、CAINABEL151、ZERG、BO.1EANPB、COCKHORSE、ZSPYIIS、NETHIS等。其中OICQ.KEY、NETHISF是可将IP地址、系统密码等发送出去的木马,被悄悄捆绑在某OICQ在线聊天程序中,结果被人下载了几十万多次,真不知有多少人受到伤害。

直接进行破坏的恶性程序,如shanghai.TCBOMB(上海TC炸弹),放在网上供人下载。不知情的用户一执行,瞬间硬盘就不能用了,数据就取不出来了。

HARM/DEL-C(删除C),这个程序被人用了一个响亮的名字,一旦被执行,C盘下的文件全被删除了。

这类恶意程序还有FUNJOKE、SIJI、HA-HA、MAILTOSPAM、SYSCRASH、CLICKME、QUAKE、WAY20、TDS.SE、STRETCH、NUKER等。

无破坏作用的恶作剧,出现一幅吓人的画面,或死机,或屏幕抖动等。这类程序有JOKE/GHOS、TBLUEBOMB、FLUKE、JOKEWOW等。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈