木马病毒:植入电脑的间谍
作者:刘向阳
来源:《数码世界》2008年第12期
一、木马病毒危害恶劣
最近,微软推出“黑屏行动”,网上讨论声一片。
尽管微软再度声明“黑屏行动”绝对不会收集用户个人信息,但是从微软的技术手段可以看出,想要轻而易举地进入用户电脑,易如反掌。
北京中银律师事务所律师董正伟已向公安部举报微软“黑屏行动”侵犯用户隐私、危害信息安全,是中国最大的黑客行为,要求公安部展开侦查并追究微软公司的刑事责任。
微点主动防御软件已自动捕获了多种假冒微软“黑屏”破解程序和在微软“黑屏”破解程序上捆绑灰鸽子变种的病毒。
专家介绍,这些灰鸽子变种病毒经过了“免杀”处理,一旦用户安装这些“破解程序”,黑客便可远程控制用户的计算机,盗取用户的网游、银行、股票交易账号等信息,甚至还可打开用户计算机上的摄像头,拍下用户的私密生活。
“黑屏行动”和灰鸽子变种的病毒,其实就是一种木马病毒。
木马病毒是一种远程控制程序,一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。
植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。
运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,从而远程控制中毒电脑,肆无忌惮地查看、下载他人电脑中的内容,于是信息安全和个人隐私也就全无保障了。
08年5月,公安部公共信息网络安全监察局举办了2008年度全国信息网络安全状况暨计算病毒疫情调查活动。
数据显示,在发生安全事件的类型中,感染计算机病毒、蠕虫和木马程度依然十分突出,占70%。
木马病毒是互联网最大的危害之一,安全部门破获很多通过木马窃取信息的案件。
2007年监测到大陆地区被植入木马的主机数量,比2006年增加了26倍。
作为一种蓄意设计的软件程序,计算机病毒的功能从传统的干扰计算机操作,毁坏或删除数据,并能自我复制和自行传播到其他计算机和整个互联网,转变到“利用系统和软件漏洞,侵入目标系统,记录并窃取信息”的木马等恶意程序,计算机病毒的发作模式也和“早期大举进攻、损毁数据的暴露型不同,变得更‘安静’,如木马程序一样远程控制他人电脑,窃取数据等信息”。
木马不厉害,但它窃取信息和密码的结果是致命的。
在2008年爆发的各类木马中,网游盗号木马成为危害网民最严重的一类木马,占木马总数的76%以上,超过38%的网民曾有过被盗号经历。
从2007年开始,网游盗号木马开始泛滥,并且和其他木马“联合作战”,不仅盗取游戏账号,更直接威胁网络银行密码。
进入2008年,魔兽世界全国总冠军账号被盗一案,将盗号木马的威胁推向高峰。
网游盗号的问题已在一定程度上成为了网游业发展的绊脚石。
据金山软件发布的《2008年上半年中国电脑病毒疫情及互联网安全报告》显示,一种名为“机器狗”的病毒因其发作时间之长、影响范围之大成为“毒”王。
“机器狗”病毒从去年8月开始大规模袭击网络,是“代理木马”系列病毒的变种,由于感染病毒后会生成一个“机器狗”的图标而得名。
由于该病毒以网吧为主要攻击目标,知名度和关注度低于“熊猫烧香”等攻击个人用户的病毒。
网吧电脑普遍安装硬盘还原卡,无论玩家在电脑上进行何种操作,重启电脑后都会自动恢复到初始状态,普通的病毒无法生存。
“机器狗”病毒则可以突破“冰点还原”等系统还原软件和一些常见的硬盘保护卡,悄悄驻扎在电脑中,私自下载木马软件盗取玩家的网游账号和密码。
该病毒不断变种,越变越强,一般的杀毒软件和防火墙对此无能为力,网吧业主发现电脑被污染后,只能暂停营业来重装系统,仅此一项造成的损失便达七八十亿元,危害远远超过著名的“熊猫烧香”。
杭州顺网信息技术有限公司宣布悬赏50万元捉拿该病毒元凶,成为近年来国内企业悬赏金额最高的“病毒通缉令”。
一家报社记者小王的电脑最近一段时间突然变慢,打开一个网页浏览器要花几十秒钟,有时候甚至死机。
小王记者在电脑上发现,有许多她没有使用的程序正在连接网络,占用大量计算机内存,明显是中了木马病毒的症状。
小王心惊地说:“如果不有效防范,要想不感染病毒,除非不再用软件”。
仅据瑞星公司一家的统计分析,2007年我国大陆地区就有7300多万台电脑曾被病毒感染,成为计算机病毒的“重灾区”。
二、木马病毒传播方式
从目前来看,网页挂马、文件下载、感染U盘、ARP局域网攻击、电子邮件已成为木马病毒传播的主要方式。
像点击QQ、MSN、电子邮件中病毒网址、浏览被黑的网站,都会导致感染木马病毒。
1.网页挂马
网页木马是通过网页浏览传播的一种木马种植方式,此方法非常隐蔽,常常让人在不知不觉间中招。
黑客会将制作好的木马程序放到网页中,当人们在浏览这些网页时,木马程序会通过系统或软件的漏洞自动安装,或是以浏览该网页必须的插件等名义诱骗用户点击安装等等方式偷偷进驻到别人的电脑中,让人防不胜防。
目前90%以上的木马病毒是通过“挂马”方式传播的,主要原因是因为互联网站被大量“挂马”,这已成为病毒木马传播的主要方式。
这些木马通过黑客网站进行频繁升级,有些木马甚至几十分钟升级一个新版本。
最近流行的“磁碟机”“木马群”等等,即是通过“挂马”方式感染用户电脑的。
它们通过不断下载新木马,造成杀毒软件始终“杀不干净”的现象。
如果不能从网络入口处进行拦截,那么木马病毒就会像“蝗虫军团”一样蜂拥而至,让杀毒软件只能陷于困境。
目前黑客采用一种新颖的挂马方式,利用知名统计网站进行挂马,从而使得所有使用了该统计代码的网站全部都被间接挂马。
如果用户浏览了这些被间接挂马的网站,木马即被下载到用户电脑中,而下载的木马被激活后,将注入系统关键进程中,并自动下载多种盗号木马程序同时完成自身木马程序的在线更新。
利用统计网站间接挂马的方式,使得病毒的传播范围和感染数量呈几何级数增长,对社会危害极大。
2.文件下载
最新数据显示,通过网络浏览下载感染病毒的比例大幅增加了44%。
将木马程序捆绑在正常的程序或文件中,当别人下载并运行后,被捆绑木马的程序和文件可以正常运行,但在运行过程中,木马程序也已经悄悄运行了,这起到了很好的迷惑作用。
黑客通常会将木马程序捆绑到一个广为传播的热门软件上来诱使他人下载,并把它放到下载网站或网站论坛中使其在网络上传播。
3.电子邮件
伪装木马最常用的传播方式就是通过电子邮件和QQ等即时通讯软件来传播,黑客将木马程式以附件的形式夹在邮件中发送出去,很多朋友对电子邮件的附件或QQ好友发送的文件会毫不犹豫的点击接受,就这样因为一时粗心大意中了木马。
4.U盘
磁碟机木马是2008年以来最为活跃的一个木马之一,磁碟机的传播途径极为特殊。
它主要利用感染U盘的方式,通过U盘传播。
因此在朋友之间交换文件或拷贝电影时,就有可能感染磁碟机。
由于U盘和移动硬盘是日常工作中最为常用的文件存储和转移方式,因此,只要一台电脑感染磁碟机,就有可能导致大范围的感染。
三、主要目的是牟取经济利益
毫无疑问,木马病毒泛滥背后最大的动力就是谋取经济收益。
木马病毒是以侵入用户电脑,窃取网游账号、银行和股票账号等信息为目的,带有直接的经济利益特征。
在去年瑞星截获的病毒样本数中,窃取用户的账号木马和后门病毒占84.5%。
一位反病毒专家说:“我们去年杀掉的病毒里面91%是木马,可能还有2%是广告程序,像以前所谓的非营利型病毒基本没有了。
”
病毒的驱利性进一步增强,网上制作和贩卖病毒、木马的活动日益猖獗,利用病毒木马技术进行网络盗窃。
诈骗的网络犯罪活动呈快速上升趋势。
网上经常可看到这类贴子:“木马出售或定做木马,挂马业务,请联系QQ……”在新浪博客、百度贴吧等这些国内访问量较大的商业网站频道中,出售、出租、定做木马,承接“挂马”业务等帖子随处可见。
这些病毒、木马等恶意软件制造者不再是个人或者小团体,而是演变为散步在网络上的分工严密的组织,以追逐利益为目标,形成了发现漏洞、制造木马、传播木马、窃取信息、第三方平台销赃、洗钱的一条庞大而完整的黑色产业链。
受害者不仅限于个人用户,还包括了企业等用户。
主要通过盗取网民账号内的游戏装备等物品牟利,每年可获利数亿元。
四、木马病毒查杀困难
木马病毒与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是毫无价值的。
各类木马不仅在技术上加强隐蔽性特性,同时也通过频繁变种躲避安全软件的追杀,成为今年木马爆发的显著特征。
机器狗系列木马便是其中的典型代表。
截至目前,机器狗木马至少出现了4次大变种,几十次小变种,均以躲避360安全卫士等安全软件的查杀为目的。
持续时间之长,变种数量之多,实属罕见。
并且每次变种之后的木马越来越恶劣,从最初的替换系统文件,到中期变种为穿透网吧还原系统下载盗号木马,直到干扰安全类软件正常运行。
像利用加壳工具可以改变已有病毒的“面貌”,使得杀毒软件无法识别。
任何具备基础电脑知识的人,只要从网上下载加壳工具,就可以自动生产出病毒。
这导致病毒数量暴增,变种速度加快。
一个熟练的病毒工程师,每天可以分析40—50个样本,而现在每天出现在网络上的病毒样本平均为3000—4000个。
如果使用木马生成器,可能一个小学生就会做木马。
五、如何防范木马病毒
反病毒专家建议电脑用户采取以下措施预防该病毒:(1)要防范木马最简单和最直接的办法就是装上保险的防火墙;现在越来越多的杀毒软件也能够查杀木马,因此还需安装杀毒软件。
及时升级,杀毒软件每天至少升级三次。
养成每次下载文件后都先用防病毒软件查杀的习惯。
(2)使用漏洞扫描,打好补丁,弥补系统漏洞。
(3)不要从非正规网站上下载和执行不可靠的程序和文件,不浏览不良网站,不随意下载安装可疑插件。
(4)不接收QQ、MSN、Email等传来的可疑文件,更不轻易打开。
电子邮件中的附件和接收来自QQ或MSN等即时通讯软件传送的文件,如果要接受也要向对方询问和求证,因为对方也有可能是在电子邮件帐
号,QQ号已被盗或是中了木马成为肉鸡后,在不知情的情况下发送木马程序给你的。
如果运行了接收的文件后,系统却没有任何反应,或是有东西一闪而过,那就要格外小心了,因为这是运行木马程序后最典型的反应,此时应运行最新的杀毒软件对文件和系统进行全面查杀。
(5)如果在运行了程序或文件后,网络防火墙提示有程序试图连接网络时,就要多个心眼,一定要确认该程序或文件的功能必须连接上网才能放行,否则就要禁止它连接网络,并对它做进一步检查。
(6)上网时打开杀毒软件实时监控功能。
