近年来发展迅速,经常被黑客利用,渗透到计算机用户的主机系统内,盗取用户的各类账号和密码,窃取各类机密文件,甚至远程控制用户主机。
定义“特洛伊木马”(trojanhorse)简称“木马”,有“一经潜入,后患无穷”之意。完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
伪装方法1、修改图标
木马服务端所用的图标也是有讲究的,木马经常故意伪装成了XT、HTML等你可能认为对系统没有多少危害的文件图标,这样很容易诱惑你把它打开。
2、捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。被捆绑的文件一般是可执行文件(即EXE、COM一类的文件)。
3、出错显示
有一定木马知识的人部知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序。木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开!”之类的信息,当服务端用户信以为真时,木马却悄悄侵人了系统。
4.自我销毁
攻击原理木马一般都使用C/S架构,一个完整的木马程序通常由两部分组成:服务端(服务器部分)和客户端(控制器部分)“。服务器”部分被植入到被攻击者的电脑中,“控制器”部分在攻击方所控制的电脑中,攻击方利用“控制器”主动或被动的连接“服务器”,实现对目标主机的控制。木马运行后,会打开目标主机的一个或多个端口,以便于攻击方通过这些端口实现和目标主机的连接。连接成功后,攻击方便成功的进入了目标主机电脑内部,通过控制器可以对目标主机进行很多操作,如:增加管理员权限的用户,捕获目标主机的屏幕,编辑文件,修改计算机安全设置等等。而这种连接很容易被用户和安全防护系统发现,为了防止木马被发现,木马会采用多种技术来实现连接和隐藏,以提高木马种植和控制的成功率。2
种类1、破坏型
惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件。
2、密码发送型
3、远程访问
最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。以下的程序可以实现观察“受害者”正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的操作。程序中用的UDP(UserDatagramProtocol,用户报文协议)是因特网上广泛采用的通信协议之一。与TCP协议不同,它是一种非连接的传输协议,没有确认机制,可靠性不如TCP,但它的效率却比TCP高,用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端,只区分发送端和接收端,编程上较为简单,故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。
4.键盘记录木马
这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项,顾名思义,它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键,下木马的人都知道,从这些按键中他很容易就会得到你的密码等有用信息,甚至是你的信用卡账号。当然,对于这种类型的木马,邮件发送功能也是必不可少的。1
(2)删掉所有你硬盘上原来没有的东西。
(3)用查杀软件检查一次硬盘上是否有病毒存在。1
防护1、网络安全防护系统和软件的安装与维护
安装必要的网络安全防护软件,例如防火墙,入侵检测,补丁分发等,合理的设置防火墙,开始实时的入侵检测,做好网络安全防护系统的维护,下载新的补丁并及时安装。
2、计算机“安全配置”
(1)修补系统漏洞:木马的种植需要利用系统存在的漏洞,及时修补系统漏洞可以提高系统安全性,防止木马攻击。
(2)关闭不必要的端口或服务:为了保证系统的安全,严格限制开放的端口是非常必要的,一般来讲,非必要的端口/服务都应该关闭。
3、良好的机务作风
大部分的网络安全事件,是由人为误操作造成的。因此好的上网习惯也对计算机系统的安全有着举足轻重的作用。上网时不要随意打开来历不明的邮件,或下载来历不明的软件,以及随意点击各种链接,因为,这些操作都有可能让自己的电脑中病毒或木马。3