《恶意木马类病毒原理与网络安全性》由会员分享,可在线阅读,更多相关《恶意木马类病毒原理与网络安全性(6页珍藏版)》请在金锄头文库上搜索。
1、第十四届全国工程设计计算机应用学术会议论文集杭州2 0 0 8恶意木马类病毒原理与网络安全性黄学林张月燕李益平 ( 福建省建筑设计研究院福州3 5 0 0 0 1 ,)【提要】本文简要介绍了木马病毒的危害性,木马病毒的发展趋势和特点,分析了木马病毒的主要原理和影响网络安全性的主要因素,以及在网络安全方面提出一些安全防范建议。【关键词】木马特点;网络安全性随着互联网信息化进程的迅速深入发展,网络安全问题日渐突出,使得信息安全的内涵也发生了根本性变化,纯病毒时代已经一去不复返,取而代之的是呈几何增长的新型恶意木马类病毒,它结合了传统病毒、电子部件病毒的破坏性和基于弼络特有功能的恶意木马类病毒,能够
2、快速寻找和发现整个企业网络内计算机存在的安全漏洞进行破坏。虽然杀毒软件和防火墙普遍进驻计算机操作系统,依然挡不住它们的入侵和攻击。究其原因,主要是梅成针对网络威胁的形式越来越多,攻击手段越来越复杂,并且呈现出综合的多元化的特征。1 木马病毒的危害与特点对于大多数恶意程序,只要把它们删除,危险就算过去,威胁也不再存在。但恶意木马具有特殊性,它与病毒、蠕虫之类的恶意程序一样,具有删除或修改文件、格式化硬盘、 上传和下载文件、骚扰用户等等恶意功能。例如,经常可以看至4 攻击者霸占被入侵的计算机,绑架杀毒软件,控制U 盘,用户所有的磁盘空间几乎都被侵占殆尽,除此之外,木马 还有其独一无二的特点一窃取内
3、容”,远程控制”。 也就是说,木马还具有远程控制计算机系统以及捕获用户的屏幕、每一次击键事件、音频、视频的能力,这意味着恶意攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射。甚至信用卡、银行帐户和个人通信方面的信息。如果计算机带有一个麦克风,木马可以窃听谈话内容。如果计算机带有摄像头,木马可以把它打开,捕获视频内容。目前还没有比木马病毒更能威胁用户隐私的,凡是你在计算机面前所说、所做的一切,都有可能被记录。所以,其危害程度要远远超过普通的病毒和蠕虫木马的发展促进了安全技术的提高,而安全技术的提高,木马又向更高的级别发展。现在木马已经形成了多个派系的共存,结合了传统电子邮件病毒的破坏性,产生
4、了更多的混合型木马病霉侦测它们的手段不能再像以前那样简单了据相关业界报告显示截至2 0 D 7 年6 月止,所截获的新增病毒样本总计约有1 1 4 7 4种,其中新增木马在这些木马病毒中,盗号木马尤其严重,占到木马总数的七成多,高达 5 8 2 4 5 种。从这些数据中可以看出,木马数量迅速成倍增长,而且病毒制造者更倾向于制3 l O第十四届全国工程设计计算机应用学术会议论文集杭州2 0 0 8造、传播木马病毒。可以说,从2 0 0 6 年到现在,木马、后门程序大行其道,成为绝对主流,超过九成的计算机都遭受过木马病毒的攻击。目前,病毒疫情主要呈现如下几个特点:( 1 ) 互联网进入木马病毒经济
5、时代;( 2 ) 木马数量迅猛增加,变种层出不穷;( 3 ) 网页挂马与A R P 欺骗危害加剧;( 4 ) U 盘类存储器成为病毒传播的主要途径;( 5 ) “0 D a y 漏洞让微软防不胜防;( 6 ) 病毒木马疯狂反扑,病毒木马商业化运作出现团队化协同方式;( 7 ) 病毒的变种数量已经成为衡量其危害性的新标准。2 木马病毒技术分析2 1 木马的基本特征恶意木马是病毒的一种,木马程序有不同的种类,但它们之间都有一些共同的特性。综合现在所流行的恶意木马程序,其基本特征:( 1 ) 隐蔽性包含于正常程序中,当用户执行正常程序时,启动自身,并且在难以察觉的情况下,完成危害用户的操作,具有隐蔽
6、性。它的隐蔽性主要体现在以下几个方面:不产生图标,不在系统“任务栏”中产生有提示标志的图标;文件隐藏,将自身文件隐藏于系统的文件夹中; 在专用文件夹中隐藏;自动在任务管理器中隐形,并以“系统服务”的方式欺骗操作系统:无声息地启动;伪装成驱动程序及动态连接库。( 2 ) 自行运行 木马为了控制服务端,它必须在系统启动时即跟随启动,所以它必须潜入在你的启动配置文件中,如w i n i n i 、s y s t e m i n i 、w i n s t a r t b a t 以及启动组等文件之中。( 3 ) 欺骗性捆绑欺骗,用包含具有未公开并且可能产生危险后果的功能的程序与正常程序捆绑合并成一个文
7、件。如:把木马服务器和某个正常软件或图像文件或多媒体文件绑成一个文件,骗人运行木马。( 4 ) 自动恢复采用多重备份功能模块,以便相互恢复。如:当你删除其中的一个文件,以为万事大吉。谁知又悄然出现,像幽灵一样,防不胜防。( 5 ) 自动打开端口用服务器客户端的通讯手段,利用T C P I P 协议不常用端口自动进行连接,开方便之“门”。一( 6 ) 功能特殊性木马通常都有特殊功能,具有搜索c a c h e 中的口令、设置口令、扫描目标I P 地址、进第十四届全国工程设计计算机应用学术会议论丈集杭帅2 0 0 8行键盘记录、远程注册表操作以及锁定鼠标等功能。2 2 木马原理一木马是一个程序,它
8、驻留在目标计算机里,随计算机自动启动并对某一端口进行侦听,识别到所接收的数据后,对目标计算机执行特定的操作。木马其实质只是一个通过端1 2 1 进 行通信的网络客户朋艮务程序。其原理是一台主机提供服氟服务器) ,另一台主机接受服务( 客户机) 。作为服务器的主机一般会打开一个默认的端口并进行监听( L i s t e n ) ,如果有客户机向服务器的这一端口提出连接请求( C o n n e c tR e q u e s t ) ,服务器上的相应程序就会自动运行, 来应答客户机的请求。 木马程序是由客户端和服务端两个程序组成,其中客户端是攻击者远程控制终端程序,服务器端程序即是木马程序。 当木
9、马的服务端程序在被入侵的计算机系统上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被入侵的计算机系统。在客户端和服务端通信协议的选择上,绝大多数木马程序使用的是T C P I P 协议,但是也有一些木马由于特殊的原因,也使用U D P 协议进行通讯。当服务端在被入侵计算机上运行以后,它一方面尽量把自己隐藏在计算机系统的某个角落里,以防被用户发现:同时监听某个特定的端口,等待客户端( 攻击者) 与其取得连接;另外为了下次重启计算机时仍然能正常工作,木马程序一般会通过修改注册表或者其他的方法让自己成为固定的自启动程序。2 3 木马病毒入侵目前木马入侵的主要方式,如:利用系统或者
10、软件的漏洞入侵计算机把木马的服务端植入到系统中;或者通过E m a i l 邮件夹带,把服务端作为附件寄给对方:或者把服务端进 行伪装后放到共享文件夹,或者通过I E 浏览过程中透过临时文件夹用伪装临时过渡文件渗透到系统中;或者通过P 2 P 软件( 比如P P 点点通、百宝等) ,在毫无防范中下载并运行该服务端程序。木马病毒入侵过程一般为以下三个基本步骤:( 1 ) 进入系统扫描目标主机; 检查开放的端口,获得服务软件及版本;检查服务软件是否存在漏洞,如果是,利用该漏洞远程进入系统; 检查服务软件的W W W 服务,包括C G I 程序是否存在漏洞;检查服务软件是否存在脆弱帐号或密码是否可以
11、获取有效帐号或密码; 服务软件是否泄露系统敏感信息。( 2 ) 提升权限检查目标主机上的S U I D 和G U I D 程序是否存在漏洞,利用该漏洞提升权限; 检查本地服务是否存在漏洞,利用该漏洞提升权限;检查本地服务是否存在脆弱帐号或密码,利用该帐号或密码提升权限: 检查重要文件的权限是否设置错误,如利用该漏洞提升权限;检查系统配黄目录和用户目录中是否存在敏感信息可以利用; 检查临时文件目录是否存在漏洞可以利用;3 1 2第十四届全国工程设计计算机应用学术会议论文集杭州2 0 0 8重复以上步骤,直到获得r o o t 权限或放弃。 ( 3 ) 放置后门 放置木马程序,用木马的服务端植入到
12、系统中。3 网络安全性网络安全是- - f 3 涉及计算机科学、网络、通信、密码、信息安全等技术的多种学科的综合性学科。网络安全包括组成网络系统的硬件、软件及其系统中的数据受到保护以及在网络上传输数据信息的安全,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全的具体含义会随着使用者的变化丙变化,使用者不同,对网络安全的认识和要求也就不同。网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。网络安全性,在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。具体而言,网络安全性,要保护个人
13、隐私;控制对网络资源的访问;保证商业秘密在网络上传输的保密性,避免企业商业机密以及个人资料泄漏等等。3 1 影响网络安全的因素互联网给人带来很多便利,许多人忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足,存在不少认知盲区,造成制约因素。网络安全既有技术方面的问题,也有管理方面的问题。影响网络的稳定性和安全性的 因素是多方面的,大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。因此,人为的网络入侵和攻击行为以及用户安全意识不强是网络安全面临最大的问题。网络安全隐患主要表现在以下三个方面:( 1 ) 用户安全
14、意识不强:用户不知道或没有及时安装操作系统补丁软件,又没有安装良好的防病毒软件并及时进行更新升级,用户随意下载未知软件和打开不明邮件,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁,这些都给病毒和木马病毒带来可乘之机。( z ) 人为的恶意攻击:利用木马和黑客等工具手段对网络实施攻击和入侵,这是计算机 网络所面临的最大威胁一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。 ( 3 ) 病毒:病毒感染已成为网络安
15、全的严重威胁,目前计算机病毒感染方式已从单机的 被动传播变成了利用网络的主动传播,不仅带来网络的破坏,而且造成企业信息的泄漏。3 2 安全防范几点建议( 1 ) 绝对不要轻易相信从任何地方得来的任何文件,其中包括u 盘,特别是从网站下3 1 3第十四届全国工程设计计算机应用学术会议论文集杭州2 0 0 8载的软件。一些共享软件和免费软件含有捆绑恶意代码的可能,请一定做好彻底检查。( 2 ) 要经常对操作系统的安全漏洞进行修补和更新,对重大的安全漏洞一定要修补。【3 ) 坚持每天升级你的反病毒软件和反木马软件程序。仔细阅读说明书,争取发挥软件的最大作用。( 4 ) 注意检查启动组和W i n i
16、 n i 以及S y s t e m i n i 、w i r t s t a r t b a t 、w i n i n i t i n i ,A u t o e x e e ,b a t 、e o n f i g s y s 等文件。 ( 5 ) 注意上网时计算机系统网络所用的端I = 1 ,对1 0 2 4 以上的端口要密切注意。( 6 ) 上网时发现计算机运行情况不对,要立即断开网络连接。虽然造成上网速度突然变慢的原两有很多,但是首先要怀疑被木马入侵,因为木马病毒入侵计算机系统对,会与正常访问网络抢占带宽。 ( 7 ) 经常观察计算机系统上进程列表和性能表上C P U 使用记录。如有不正常现象,务必查清原因。恶意木马是一种人为的程序,属于计算机病毒。随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用极其狡猾的手段来隐蔽自己,花样措施也是五花八门。所以必须有效地阻击和清除恶意木马类病毒,提高网络信息安全,加快信息化发展的进程。网路信息安全是一个持续性的过程
