以不變應(yīng)萬(wàn)變常見(jiàn)木馬入侵防范寶典

字號(hào):

奇虎360安全中心最近發(fā)布的《互聯(lián)網(wǎng)不安全報(bào)告》中披露,2007年上半年奇虎共截獲病毒、惡意軟件及木馬程序共計(jì)168135個(gè),其中木馬程序占據(jù)了80%的比例。比如的“灰鴿子”木馬,僅不完全統(tǒng)計(jì)就有大概6萬(wàn)個(gè)變種。 可見(jiàn)在現(xiàn)今階段的互聯(lián)網(wǎng),木馬的危害已經(jīng)占據(jù)了主導(dǎo)。
     談“馬”色變并不是空穴來(lái)風(fēng),你可能覺(jué)得自己已經(jīng)安裝了最新版本的殺毒軟件和防火墻,自認(rèn)銅墻鐵壁、百毒不侵??梢淖兎N木馬程序讓病毒庫(kù)防不勝防。畢竟是先有病毒,再有病毒庫(kù)更新。目前各大殺毒公司紛紛進(jìn)入主動(dòng)殺毒/防御領(lǐng)域,正是因?yàn)榇蠹乙呀?jīng)意識(shí)到面對(duì)最新木馬病毒的查殺,時(shí)間是最關(guān)鍵的因素!
     那現(xiàn)階段呢?我們這些飽受侵害的用戶(hù)該做些什么呢?其實(shí)木馬發(fā)展到現(xiàn)在,最重要的因素就是其很好的利用了社會(huì)工程學(xué)原理,在偽裝和侵入方式上下足了功夫。這對(duì)于木馬的整個(gè)入侵程序來(lái)說(shuō)最為重要——換句話(huà)說(shuō):你需要運(yùn)行木馬,才能讓自己的計(jì)算機(jī)中招!今天就針對(duì)這一環(huán)節(jié),分析當(dāng)前木馬慣用伎倆,不用殺毒軟件也能分辨出木馬程序。
     木馬攻擊原理
     木馬變種再多,功能再?gòu)?qiáng)大,整個(gè)木馬病毒的體系也只分為兩大部分:客戶(hù)端和服務(wù)端。一般情況下黑客會(huì)使用客戶(hù)端編譯出一個(gè)負(fù)責(zé)其自己要求的服務(wù)器端,倘若有人運(yùn)行了這個(gè)服務(wù)器端程序,則他的電腦就真的成為了黑客的服務(wù)器,任其宰割了。當(dāng)然,殺毒軟件和電腦使用者不會(huì)這么“笨”,它們可以通過(guò)病毒的關(guān)鍵碼和形態(tài)上分出該程序的性質(zhì),所以黑客就需要對(duì)木馬進(jìn)行包裝和加強(qiáng)——也就是偽裝和變種。
     特別提示:現(xiàn)在大部分的木馬都已經(jīng)采用了反彈式連接,普通防火墻很難再防御住這些木馬,這主要是由于防火墻針對(duì)外部連接比較敏感,而對(duì)于內(nèi)部向外連接的審查力度卻小很多造成的。
     原程序偽裝
     這種屬于木馬偽裝中最基本的方式。以灰鴿子為例,在服務(wù)端配置的安裝選項(xiàng)里可以更改程序的圖標(biāo)和釋放路徑,在啟動(dòng)設(shè)置中能夠自定義注冊(cè)表和服務(wù)的名稱(chēng),甚至可以關(guān)聯(lián)到iexplore.exe,讓木馬程序隨時(shí)整裝待命。
    豐富的偽裝功能
     試想你運(yùn)行的程序圖標(biāo)如果和常見(jiàn)的setup類(lèi)似,而且將木馬以system.exe放到windows目錄下,并且與iexplore.exe一同啟動(dòng),即便是在注冊(cè)表和服務(wù)中也找不到蛛絲馬跡。此時(shí)你還會(huì)認(rèn)為剛才運(yùn)行的程序是木馬嗎?
     防范這些其實(shí)很簡(jiǎn)單。程序圖標(biāo)變,我們可以顯示所有文件的類(lèi)型,倘若發(fā)現(xiàn)一個(gè)看起來(lái)像文本的文件在顯示后綴名后變成了exe類(lèi)型,趕緊刪了吧,它肯定不是什么好東西。注冊(cè)表和系統(tǒng)服務(wù)有變化,可以利用殺毒軟件的監(jiān)視功能,或者是Regsnap等進(jìn)行比照,然后將看起來(lái)很像系統(tǒng)服務(wù)名的內(nèi)容送給google檢查,沒(méi)有這方面的信息?那它可以消失了!
     可能最難防范的就屬在系統(tǒng)目錄中放置程序的問(wèn)題了。除了平常監(jiān)視諸如system、windowns目錄外,還需要對(duì)文件名稱(chēng)做直觀(guān)的判斷,由于目前木馬偽裝越來(lái)越成熟,這里建議大家:越是看起來(lái)像系統(tǒng)文件的越要注意。
     捆綁偽裝
     文件捆綁技術(shù)并不是什么新玩藝。這種技術(shù)應(yīng)用在木馬上的最主要原因是對(duì)上面提到的原程序偽裝的延續(xù)。換句話(huà)說(shuō),上面原程序偽裝了半天,用戶(hù)一旦運(yùn)行發(fā)現(xiàn)沒(méi)有任何效果肯定會(huì)產(chǎn)生疑問(wèn),而此時(shí)如果將一個(gè)其它程序注入到木馬中同時(shí)進(jìn)行,就會(huì)更好的遮人耳目了。
     如果我們遇到一些程序,可以使用一些查捆綁的工具(點(diǎn)擊下載),如果查詢(xún)到存在捆綁文件,還是小心為妙。
    捆綁分析
     網(wǎng)頁(yè)偽裝保護(hù)
     網(wǎng)頁(yè)木馬現(xiàn)在非常常見(jiàn),因?yàn)楹诳椭灰獙⒛抉R嵌入到網(wǎng)頁(yè)中,誘騙用戶(hù)瀏覽該網(wǎng)頁(yè)就可讓其中招,同樣類(lèi)似的還有電子郵件木馬,方式上二者類(lèi)似。
     這種木馬最難防范,在主動(dòng)防御技術(shù)還沒(méi)有得到廣泛應(yīng)用之前,我們通過(guò)提升IE的安全級(jí)別,禁止腳本運(yùn)行等方式來(lái)杜絕這類(lèi)木馬。但現(xiàn)在的嵌入技術(shù)包含了代碼保護(hù),所以防范起來(lái)還是不具有普遍性。