请问,特洛伊马病毒的危害是什么?
特洛伊马是一种恶意程序,它在主机上安静地运行,使攻击者有权在用户不知情的情况下远程访问和控制系统。一般来说,大多数木马都是模仿一些正规远程控制软件的功能,比如赛门铁克的pcAnywhere,但是木马也有一些明显的特点,比如它的安装和运行都是在黑暗中完成的。攻击者经常在一些游戏或小软件中隐藏特洛伊马,诱导粗心的用户在自己的机器上运行。最常见的情况是,被忽悠的用户要么从不正规的网站下载并运行了带有恶意代码的软件,要么不小心点击了带有恶意代码的邮件附件。
大多数木马包括客户端和服务器。攻击者使用名为binder的工具将服务器部分绑定到合法软件,诱使用户运行合法软件。一旦用户运行该软件,特洛伊木马的服务器部分就会在用户不知情的情况下完成安装过程。通常,特洛伊马的服务器部分是可以定制的。攻击者可以自定义的项目一般包括:服务器的IP端口号、程序的启动时间、如何打电话、如何隐身、是否加密。此外,攻击者还可以设置登录服务器的密码,确定通信模式。
服务器可能会通过发送电子邮件通知攻击者,宣布它目前已成功接管机器;或者它可以联系隐藏的互联网通信信道来广播被占用机器的IP地址;此外,特洛伊木马的服务器部分启动后,可以通过预定义的端口直接与攻击者机器上运行的客户端程序进行通信。无论特洛伊马的服务器如何与客户端程序建立联系,有一点是不变的。攻击者总是使用客户端程序向服务器程序发送命令来控制用户的机器。
特洛伊攻击者可以随意查看被入侵的机器,或者通过广播发出命令,指示其控制下的所有木马一起行动,或者扩散到更大范围,或者做出其他危险的事情。事实上,只要使用预定义的关键字,所有被入侵的机器都可以格式化其硬盘或攻击另一台主机。攻击者经常利用特洛伊木马入侵大量机器,然后对关键主机发起分布式拒绝服务(DoS)攻击。当受害者察觉到网络将被异常流量淹没并试图找出攻击者时,他只能跟踪大量无知的DSL或电缆调制解调器用户,这些用户也是受害者。真的,
第二,极其危险的恶意程序攻击者早已溜之大吉。
对于大多数恶意程序来说,只要删除它们,即使危险已经过去,威胁也将不复存在,但特洛伊马有些特殊。特洛伊木马和病毒、蠕虫等恶意程序一样,也会删除或修改文件、格式化硬盘、上传下载文件、骚扰用户、驱逐其他恶意程序。例如,经常看到攻击者占领被入侵的机器来保存游戏或攻击工具,用户的磁盘空间几乎全部被占用,但除此之外,特洛伊马还有其独有的特点——窃取内容和远程控制——这使其成为最危险的恶意软件。
首先,特洛伊木马有能力捕捉每一个用户的屏幕和每一个按键事件,这意味着攻击者可以轻松窃取用户的密码、目录路径、驱动器映射,甚至医疗记录、银行账户和信用卡以及个人通信信息。如果PC机有麦克风,特洛伊马就能偷听谈话。如果PC有摄像头,很多木马就可以打开摄像头,抓拍视频内容——在恶意代码的世界里,没有什么比木马更能威胁到用户的隐私,你在PC前说的和做的一切都可能被记录下来。
一些木马有一个数据包嗅探器,可以捕获和分析流经网卡的每一个数据包。攻击者可以利用木马窃取的信息设置后门。即使木马后来被清除,攻击者仍然可以使用之前留下的后门闯入。
其次,如果未经授权的用户有能力远程控制主机,主机就成了强大的攻击武器。远程攻击者不仅有能力随意操纵PC自身的资源,还可以冒充合法的PC用户,例如,冒充合法用户发送邮件、修改文档,当然,还可以利用被占用的机器攻击其他机器。两年前,一个家庭用户让我帮他向交易机构证明,他没有提交一个看起来明显亏损的股票交易。交易机构确实在交易中记录了他PC的IP地址,我也在他的浏览器缓冲区中发现了有争议交易的痕迹。此外,我还发现了SubSeven(即Backdoor_G)特洛伊马的迹象。虽然没有证据表明特洛伊马与这次让他损失惨重的股票交易有直接关系,但可以看出特洛伊马在交易时是活跃的。
第三,特洛伊马的类型
常见的木马如Back Orifice、SubSeven等,都是多用途的攻击工具包,功能全面,包括抓取屏幕、声音、视频内容等。这些木马可以用作按键记录器、遥控器、FTP服务器、HTTP服务器、Telnet服务器,还可以查找和窃取密码。攻击者可以配置特洛伊监听的端口、运行模式以及特洛伊是否通过电子邮件、IRC或其他通信方式联系攻击者。一些有害木马还具有一定的反检测能力,可以通过各种方式隐藏自己,加密通信,甚至为其他攻击者开发附加功能提供专业API。由于其功能全面,这些木马往往很大,通常达到100 KB到300 KB。相对来说,把它们安装在用户的机器上而不引起任何人的注意是很难的。
对于功能单一的特洛伊马,攻击者会尽量保持较小,一般是10 KB到30 KB,这样可以在不引起注意的情况下快速激活。这些木马通常被用作关键记录器。他们记录受害用户的每一次击键事件,并将其保存到一个隐藏文件中,以便攻击者下载该文件来分析用户的操作。有些木马具有FTP、Web或聊天服务器的功能。通常情况下,这些迷你木马只是用来窃取难以获得的初始远程控制能力,以保证初始入侵的安全性,从而在不太可能引起注意的适当时机上传安装一个功能齐全的大型特洛伊。
找到任何一个互联网搜索网站,搜索关键词远程访问特洛伊,你很快就会得到数百个木马——种类之多,以至于大多数专门收集木马的网站都要按字母顺序排列,每个字母下有几十个甚至100多个木马。我们来看看最流行的两种木马:Back Orifice和SubSeven。
■后孔口
1998中,死牛邪教发展出了背口。这个节目很快在特洛伊马场引起了轰动。它不仅有可编程的API,还有很多其他新功能,让很多正规的遥控软件相形见绌。Back Orifice 2000 (BO2K)是按照GNU GPL(通用公共许可证)发行的,希望能吸引一批固定用户,从而与pcAnywhere等老牌远程控制软件抗衡。
但其默认的隐蔽操作模式和明显的进攻意图,短时间内不太可能让很多用户接受。攻击者可以使用BO2K的服务器配置工具来配置很多服务器参数,包括TCP或UDP、端口号、加密类型、秘密激活(在Windows 9x机器上运行得更好,但在Windows NT机器上运行得更差)、密码、插件等等。
Back Orifice的很多功能让人印象深刻,比如击键记录、HTTP文件浏览、注册表编辑、音视频抓取、密码窃取、TCP/IP端口重定向、消息发送、远程重启、远程锁定、数据包加密、文件压缩等等。Back Orifice自带软件开发包(SDK),允许通过插件扩展其功能。
默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用而言,背孔对错误的输入命令非常敏感。没有经验的新手可能会导致它频繁死机,但是遇到有经验的老手就会变得驯服而强大。
■ SubSeven
SubSeven可能比Back Orifice更受欢迎,这款特洛伊一直处于各大杀毒软件厂商感染统计的前列。SubSeven可以作为一个关键记录器和数据包嗅探器,还具有端口重定向,注册表修改,麦克风和摄像头记录的功能。图2显示了一些SubSeven客户机命令和服务器配置选项。
SubSeven有许多让受害者尴尬的功能:攻击者可以远程交换鼠标按钮、关闭/打开Caps Lock、Num Lock和Scroll Lock、禁用Ctrl+Alt+Del、注销用户、打开和关闭光驱、关闭和打开显示器、翻转屏幕显示、关闭和重启计算机等等。
SubSeven使用ICQ、IRC、电子邮件甚至CGI脚本来联系攻击发起者。它可以随机更改服务器端口,并将端口更改通知给攻击者。此外,SubSeven还提供了专门的代码来窃取AOL即时通讯(AIM)、ICQ、RAS和屏保的密码。
四、特洛伊马匹的检测和清除
如果一个企业网络遭到病毒和电子邮件蠕虫的破坏,那么这个网络很可能是特洛伊木马的第一个目标。由于木马是通过绑定程序和攻击者进行加密的,常规杀毒软件发现木马的难度要比蠕虫和病毒大得多。另一方面,特洛伊马造成的损害可能远远高于普通蠕虫和病毒造成的损害。因此,检测和清除特洛伊木马是系统管理员的首要任务。
对抗恶意代码最好的武器就是最新成熟的病毒扫描工具。扫描工具可以检测大多数特洛伊马,并尽可能自动化清洗过程。许多管理员过于依赖一些特殊的工具来检测和清除特洛伊马,但有些工具的效果是值得怀疑的,至少不值得完全信任。不过Agnitum的Tauscan确实是一款顶级的扫描软件,过去几年的成功已经证明了它的有效性。
特洛伊入侵的一个明显证据是受害者机器上的一个端口被意外打开。特别是,如果这个港口恰好是特洛伊马的一个普通港口,特洛伊入侵的证据就更加确定了。一旦发现特洛伊入侵的证据,应尽快切断机器的网络连接,以减少攻击者察觉并进一步攻击的机会。打开任务管理器,关闭所有连接到互联网的程序,如电子邮件程序和即时消息程序,并从系统托盘关闭所有正在运行的程序。注意暂时不要启动到安全模式。启动到安全模式通常会阻止特洛伊木马加载到内存中,这使得它很难检测到木马。
当然包括Windows在内的大多数操作系统都有一个Netstat工具来检测IP网络状态,可以显示本地机器上所有活动的监听端口(包括UDP和TCP)。打开一个命令行窗口,执行“Netstat -a”命令,显示本地机器上所有打开的IP端口,注意是否有意外打开的端口(当然这需要对端口的概念和常用程序使用的端口有一定的了解)。
动词 (verb的缩写)处理遗留问题
在特洛伊木马被检测并清除后,另一个重要的问题出现了:远程攻击者是否窃取了一些敏感信息?危害有多大?很难给出一个确切的答案,但是你可以通过下面的问题来确定危害程度。首先,特洛伊马已经存在多久了?文件创建日期可能不完全可靠,但可以作为参考。使用Windows资源管理器检查特洛伊马的执行文件的创建日期和最近访问日期,如果执行文件的创建日期很早,但最近访问日期很接近,那么攻击者可能已经使用特洛伊马相当长的时间了。
其次,攻击者入侵机器后采取了哪些行动?攻击者是否访问机密数据库、发送电子邮件、访问其他远程网络或* * *访问该目录?攻击者是否获得了管理员权限?仔细检查被黑的机器寻找线索,比如文件和程序的访问日期是否在用户的办公时间之外?
在安全性要求较低的环境中,大多数用户在移除特洛伊木马后可以恢复正常工作,只要他们试图防止远程攻击者在未来再次得逞。至于一般的安全要求,最好修改所有的密码和其他敏感信息(比如信用卡号)。
在安全性要求高的场合,任何未知的潜在风险都是不可容忍的。必要时应调整管理员或网络安全负责人,对全网进行彻底检测,修改所有密码,然后进行后续风险分析。对于被入侵的机器,重新格式化,彻底安装。
特洛伊马造成的危害可能是惊人的,因为它具有远程控制机器和抓取屏幕、按键、音视频的能力,所以它的危害程度远远超过普通的病毒和蠕虫。深刻理解特洛伊马的运行原理,并在此基础上采取正确的防御措施。只有这样,才能有效减少特洛伊马带来的危害。