计算机木马病毒常识及其防范 公安保密宣传教育系列之二�内容大纲u“木马”的定义u“木马”的种类u“木马”的种植方式u“木马”的主要窃密方式u“木马”的防范u“木马”的查杀� 在计算机领域中,“木马”是一类恶意程序,“木马”是有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主一、“木马”的定义 �二、“木马”的种类Ø破坏型“木马” Ø密码发送型“木马” Ø远程访问型“木马” Ø键盘记录“木马” ØDoS攻击“木马” ØFTP“木马” Ø反弹端口型“木马” Ø代理“木马” Ø程序杀手“木马”�二、“木马”的种类Ø 破坏型破坏型 这种这种“木马木马”的功能是破坏或删除的功能是破坏或删除文件,它们非常简单,很容易使用能文件,它们非常简单,很容易使用能自动删除目标计算机上的自动删除目标计算机上的DLLDLL、、INIINI、、EXE EXE 等类型的文件,所以非常危险,一等类型的文件,所以非常危险,一旦被感染就会严重威胁到计算机的安全旦被感染就会严重威胁到计算机的安全�二、“木马”的种类�二、“木马”的种类Ø 密码发送型密码发送型 这种这种“木马木马”可以找到目标计算机的隐藏密可以找到目标计算机的隐藏密码,并且在受害者不知道的情况下,把它们发送码,并且在受害者不知道的情况下,把它们发送到指定的邮箱。
有人喜欢把自己的各种密码以文到指定的邮箱有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方件的形式存放在计算机中,认为这样方便,还有人喜欢用便,还有人喜欢用Windows提供的密码记忆功提供的密码记忆功能,这样就可以不必每次都输入密码了这类能,这样就可以不必每次都输入密码了这类“木马木马”恰恰是利用这一点获取目标计算机的密恰恰是利用这一点获取目标计算机的密码,它们大多数会在每次启动码,它们大多数会在每次启动Windows时自动时自动运行,而且多使用运行,而且多使用2525号端口发送号端口发送E-mailE-mail如果目标计算机有隐藏密码,这些标计算机有隐藏密码,这些“木马木马”是非常危险是非常危险的�二、“木马”的种类WindowsWindows提供的密码记提供的密码记忆功能还是很方便嘛忆功能还是很方便嘛密密码码哈哈哈,密哈哈哈,密码到手啦!码到手啦!�二、“木马”的种类Ø远程访问型远程访问型 这种这种“木马木马”是现在使用最广泛的是现在使用最广泛的“木马木马”,它可以远程访问被攻击者的,它可以远程访问被攻击者的硬盘只要有人运行了服务端程序,客硬盘只要有人运行了服务端程序,客户端通过扫描等手段知道了服务端的户端通过扫描等手段知道了服务端的IP IP 地址,就可以实现远程控制。
地址,就可以实现远程控制�二、“木马”的种类Ø键盘记录键盘记录“木马木马” 这种这种“木马木马”的功能是记录受害者的功能是记录受害者的键盘敲击,在的键盘敲击,在LOGLOG文件里查找密码,文件里查找密码,并且随着并且随着WindowsWindows的启动而自动启动的启动而自动启动它们有和离线记录这样的选项,可它们有和离线记录这样的选项,可以分别记录用户和离线状态下敲击以分别记录用户和离线状态下敲击键盘时的按键情况对于这种类型的键盘时的按键情况对于这种类型的“木马木马”,很多都具有邮件发送功能,会,很多都具有邮件发送功能,会自动将密码发送到黑客指定的邮箱自动将密码发送到黑客指定的邮箱�二、“木马”的种类ØDoSDoS攻击攻击“木马木马” 随着随着DoSDoS攻击越来越广泛的应用,被用作攻击越来越广泛的应用,被用作DoSDoS攻击的攻击的“木马木马”也越来越流行起来当黑客入侵也越来越流行起来当黑客入侵一台计算机后,给他种上一台计算机后,给他种上DoSDoS攻击攻击“木马木马”,那,那么日后这台计算机就成为黑客么日后这台计算机就成为黑客DoSDoS攻击的最得力攻击的最得力助手了。
黑客控制的计算机数量越多,发动助手了黑客控制的计算机数量越多,发动DoSDoS攻击取得成功的机率就越大所以,这种攻击取得成功的机率就越大所以,这种“木马木马”的危害不是体现在被感染计算机上,而是体现的危害不是体现在被感染计算机上,而是体现在黑客利用它来攻击一台又一台计算机,给网络在黑客利用它来攻击一台又一台计算机,给网络造成巨大的危害和损失造成巨大的危害和损失 还有一种类似还有一种类似DoSDoS的的“木马木马”叫作邮件炸弹叫作邮件炸弹“木马木马”,一旦计算机被感染,,一旦计算机被感染,“木马木马”就会随就会随机生成各种各样主题的信件,对特定的邮箱不停机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接收邮件为地发送邮件,一直到对方瘫痪、不能接收邮件为止 �二、“木马”的种类ØFTPFTP“木马木马” 这种这种“木马木马”的功能是打开的功能是打开2121端口,端口,等待用户连接现在新等待用户连接现在新FTPFTP“木马木马”还还加上了密码功能,这样,只有攻击者本加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进入对方计人才知道正确的密码,从而进入对方计算机。
算机�二、“木马”的种类Ø反弹端口型反弹端口型“木马木马” “木马木马”开发者在分析了防火墙的特性后发开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范格的过滤,但是对于连出的链接却疏于防范与一般的与一般的“木马木马”相反,反弹端口型相反,反弹端口型“木马木马”的服务端(被控制端)使用主动端口,客户端的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口控制端)使用被动端口木马木马”定时监测定时监测控制端的存在,发现控制端上线立即弹出端口控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的被动端口主动连结控制端打开的被动端口�二、“木马”的种类Ø代理代理“木马木马” 黑客在入侵的同时掩盖自己的痕黑客在入侵的同时掩盖自己的痕迹,谨防别人发现自己的身份是非常重迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的计算机种上代要的,因此,给被控制的计算机种上代理理“木马木马”,让其变成攻击者发动攻击,让其变成攻击者发动攻击的跳板就是代理的跳板就是代理“木马木马”最重要的任务。
最重要的任务通过代理通过代理“木马木马”,攻击者可以在匿名,攻击者可以在匿名的情况下使用的情况下使用TelnetTelnet,,ICQICQ,,IRCIRC等程序,等程序,从而隐蔽自己的踪迹从而隐蔽自己的踪迹�二、“木马”的种类Ø程序杀手程序杀手“木马木马” 上面的上面的“木马木马”功能虽然形形色色,功能虽然形形色色,不过到了对方机器上要发挥自己的作不过到了对方机器上要发挥自己的作用,还要过防用,还要过防“木马木马”软件这一关才行软件这一关才行常见的防常见的防“木马木马”软件有软件有ZoneAlarmZoneAlarm,,Norton Anti-VirusNorton Anti-Virus,,360360等程序杀手等程序杀手“木马木马”的功能就是关闭对方机器上运的功能就是关闭对方机器上运行的这类程序,让其他的行的这类程序,让其他的“木马木马”更好更好地发挥作用地发挥作用�三、“木马”的种植方式 u 利用系统漏洞远程种植u 直接通过邮件、等通信工具发送u 捆绑在其他软件中 u 利用磁盘的“自动运行”功能u 利用浏览器的漏洞u 利用用户浏览网页时的粗心大意 �三、“木马”的种植方式“木马木马”间谍程序潜入间谍程序潜入涉密信息系统涉密信息系统的途径有哪些的途径有哪些??((1 1)涉密计算机违规连接公共网络)涉密计算机违规连接公共网络违反保密规定,将涉密计算机连接公共网络,浏览网页,下载软件,违反保密规定,将涉密计算机连接公共网络,浏览网页,下载软件,即时通信等都会使即时通信等都会使“木马木马”程序潜入涉密信息系统。
程序潜入涉密信息系统2 2)交叉使用移动存储介质)交叉使用移动存储介质在涉密计算机和非涉密计算机之间交叉使用移动存储介质,是导致在涉密计算机和非涉密计算机之间交叉使用移动存储介质,是导致“木马木马”潜入涉密信息系统的主要渠道潜入涉密信息系统的主要渠道 涉密信息系统只要不连接公共网络,不交叉使用移涉密信息系统只要不连接公共网络,不交叉使用移动存储介质,就可以有效防范感染动存储介质,就可以有效防范感染“木马木马”间谍程序间谍程序�三、“木马”的种植方式�四、“木马”窃密的主要方式Ø暴力破解暴力破解 通过暴力破解获取用户的个人资料、账号、密码等通过暴力破解获取用户的个人资料、账号、密码等Ø键盘窃听键盘窃听 记录用户操作键盘的击键字符获取用户的账号、密码、涉密信息记录用户操作键盘的击键字符获取用户的账号、密码、涉密信息Ø屏幕快照屏幕快照 通过屏幕快照(也叫截屏)获取用户操作计算机时屏幕显示的一帧帧信息通过屏幕快照(也叫截屏)获取用户操作计算机时屏幕显示的一帧帧信息远程控制如同在本机操作一样,远程任意拷贝、删除、更改用户计算机中的文远程控制如同在本机操作一样,远程任意拷贝、删除、更改用户计算机中的文件、数据等。
件、数据等Ø网络钓鱼网络钓鱼 利用浏览器漏洞,设计网页地址欺骗脚本程序,建立假的工商银行、中国利用浏览器漏洞,设计网页地址欺骗脚本程序,建立假的工商银行、中国银行、政府等网站,网络骗子利用这些假网站,窃取登陆者账号、密码银行、政府等网站,网络骗子利用这些假网站,窃取登陆者账号、密码Ø闪存窃密闪存窃密 计算机一旦被植入计算机一旦被植入““木马木马””,不论是否接入互联网,,不论是否接入互联网,““木马木马””都会自动识都会自动识别、搜集别、搜集USBUSB口接入的移动存储介质上的内容,并复制到计算机硬盘上,计算机口接入的移动存储介质上的内容,并复制到计算机硬盘上,计算机一旦接入互联网,这些信息就会自动传到窃密者的计算机上,达到窃密的目的一旦接入互联网,这些信息就会自动传到窃密者的计算机上,达到窃密的目的�四、“木马”窃密的主要方式�五、“木马”的防范u 不要随意打开来历不明的邮件 u 不要随意下载来历不明的软件 u 不点击来历不明的链接u 不浏览“诱人”的网页u 及时修补漏洞和关闭可疑的端口 u 尽量少用共享文件夹 u 运行实时监控程序 u 禁止U盘的自动运行u 经常升级系统和更新病毒库 �六、查杀“木马”发现发现“木马木马”间谍程序后,按照以下方式进行查杀:间谍程序后,按照以下方式进行查杀:((1 1)使用专业的)使用专业的“木马木马”查杀工具。
查杀工具2 2)禁止)禁止“木马木马”的自动运行和加载检查系统的自启动项,取消可疑的自动运行和加载检查系统的自启动项,取消可疑 的和不需要的程序自启动的和不需要的程序自启动3 3)删除感染)删除感染“木马木马”的文件最好将系统启动到安全模式删除这些文的文件最好将系统启动到安全模式删除这些文 件对于捆绑在系统文件中的件对于捆绑在系统文件中的“木马木马”程序,应从其他系统中拷贝程序,应从其他系统中拷贝 同名文件覆盖被捆绑了同名文件覆盖被捆绑了“木马木马”的文件�l 结束语�感谢您的聆听!公安部保密委员会办公室�。