我们计算机是如何感染木马程序的
也许很多没看过这篇文章的人,对这个问题都不以为然,他们认为感染木马程序惟一的途径就是下载并且运行了server.exe(木马服务器端程序),并且他们还天真地以为只要不下载服务程序,就万事大吉了。有这种想法的朋友,请慢慢往下看,我会演示给你看有多少途径可以让你的计算机受到感染并且被人利用作一些违反法纪的事情。再次提醒:请牢记这里提出的问题,在自己使用计算机的过程中,牢牢记住,并且遵照执行,信息安全问题,不容忽视。
总的来说,木马感染计算机有如下几个途径:ICQ,IRC,黑客攻击,物理接触,测览器和E-mail软件漏洞以及NetBios的文件共享服务,下面我们来分别详细分析一下。
1.QQ/ICQ
有很多人一直不能明白,为什么仅仅是在QQ/ICQ或者其他的Internet通信软件上和别人聊聊天就会被木马感染。但是,请先相信我,不管对方是谁,在什么地方,以什么理由通过QQ/ICQ给你发送软件,你都不能轻易相信对方,这是最基本的网络安全原则。
让我们看看通过ICQ感染木马的其他各种途径:
(1)你在任何时候部不能100%肯定网线的另一端到底是谁,也许他的ICQ号是你最好朋友的号码,可是谁又能肯定他不是黑了你朋友的ICQ号,并且想进一步让你也跟着遭殃的黑客呢?
(2)旧版的ICQ在建立Webserver服务器的功能上存在很大的Bug,这个功能可以让攻击者访问到你硬盘上的各个文件。如果你认真阅读了本文前面的内容,那你就会知道,让攻击者访问到你的注册表和Windows文件是一件多么危险的事情。
(3)攻击者可以把Trojan.exe重命名成了Trojan…(中间省略150个空格).t.exe,然后,把这个软件的图标换成标准的文本文件的图标,你接受到该文件时,看到的就是一个不折不扣的文本文件,可是当你打开该文件时,对不起,木马已经感染了你的计算机。作为解决的方法,不管你使用的是哪种Internet通讯软件,为了防止被木马感染,你都要注意做到如下3点:
(1.绝对不轻易相信对方发送过来的任何文件,对于你接收到的文件,一定要仔细检查。以防有诈。
(2.时刻关注你所使用的通讯软件的Bug的发现公告,并且在第一时间升级你的软件。
(3.不要在软件的资料中,填写过分详细的个人资料,这样将会很容易让一些黑客通过社会工程学的知识黑掉你的计算机。
有些木马启动时伪装成OICQ的登陆界面,借此欺骗用户输入密码,从而盗取用户账号。黑防以前刊登过介绍文章,希望朋友们多多留意。
2.通过IRC
有些人习惯使用IRC与人交流,同样的,IRC也存在着与ICQ同样的问题,IRC也可能泄露你的IP,也可以传送文件,很多新手进人IRC,不过是为了得到免费的黄色图片或者是一些WareZ的软件,一些黑客就会利用这一点以及新手们对信息安全的无知,在IRC建立一些所谓的黄色图片交流或者WareZ交流的频道,并且通过该频道,散播木马。让人不安的是,很多沉迷其中的人却并不能了解这件事情的危害程度。并且从未想过自己会受到木马攻击。
以下是一个在IRC上受到攻击的例子:
你在某个频道中,和一个MM聊得热火朝天,当然,你就会想看看对方的照片。于是你告诉她想看看她的样子,她告诉你,就在不久之前,她利用网上的某个屏保制作软件,制作了一个由自己相片组成的屏保程序,并且还半遮半掩地让你相信其中有一些比较暴露的所谓的艺术照;然后她把Screensaver.exe发送给你,你毫不犹豫地收下来,并且在第一时间打开。Oh,女孩真漂亮呀,特别是那几张艺术照,更是让你热血沸腾。过了一会儿,屏保程序结束了,你心满意足,继续和对方聊天,好像什么都没发生过一样,可是,你知道那个屏保程序中携带了一些什么东西吗?在很多情况下,我可以说:恭喜你,你己经被木马感染了。
Trojan.exe也可以被重命名成Trojan.scr,就好像一个纯粹的屏保一样,可是,当你运行它以后,一切就不一样了。请记住:Windows的可执行文件不光有exe,scr也属于可执行文件的一种。所以,对接收到的任何文件的扩展名部要分外留心。
和ICQ一样,把Trojan.exe重命名成Trojan……(省略150个空格).txt.exe,然后发送给你,你以为是文本文件,没有防备地打开了,我只好又一次恭喜你。
很多人在Windows的资源管理器中。对于文本文件图标的东西都不会太在意。请相信我,这绝对是信息安全的大忌,无论你打开任何文件,正确的心态都应该是小心翼翼。
3.通过攻击者的黑客攻击手段
我常常对那些不假思索就轻易打开电子邮件附件的人们抱以无奈的微笑,他们中的大部分都是刚上网的新手,对网络的一切都感到好奇和有趣,而天真地不去深究其中所蕴含的危险。让我们设想一个场景:你体有一个非常要好的朋友Alex,你知道他是一个优秀的Visual Basic编程者,并且最近一直忙于一个程序的开发,你对他开发的程序感到非常好奇,一直想知道他正在做什么。可是,不幸的是,你这种心情通过某种渠道,被某个黑客知道了,他可以很轻松地通过一些免费的、四处可见的黑客软件,冒充alex@example.cor的地址给你发一封电子邮件,告诉你他的项目完成了,把程序寄给你,让你分享他成功的喜悦。你接收到邮件,欣喜若狂,毫不犹豫地把附件中的trojan.exe打开执行了,这个过程你一点怀疑感都没有产生,"Alex是我最好的朋友,他不会给我发恶意程序的。"这个潜意识的存在,让你在不知不觉中感染了木马。
整个过程无疑再次证明了"知识就是力量"这条真理。攻击者掌握了你心里的某种活动,并且利用这个信息,给你造成了巨大的危害。可是,如果你在接受到邮件的时候,不是仅仅在 "发件人"一栏看到alex@example.cor就放弃一切防备,而是仔细查看一下邮件头,你就会发现该邮件是一封由.jp的邮件服务器发送出来的,而这个服务器早就因为发送大量的垃圾邮件而臭名昭著。很显然,由于你的天真,你再次上了黑客的当。
还有一些人,在接受到主题为 "Microsoft Internet Explorer Update"等类似内容的信件时,会感到欣喜和骄傲。"看,Microsoft专门为我发来了软件升级通知,这是多么值得骄傲的事情呀!"可是我的劝告是,接收到这种类型的邮件时,你所作的事情应该是看都不看,毫不犹豫地按"Delete"键,无情地把它们删除。Microsoft从来不会通过这种电子邮件的形式发送他们的软件升级通知,你所看到的发件人updates@microsoft.com只不过是黑客们再一次利用了上面我们早就分析过了的小把戏,诱骗你上当而已。
我之所以让你连看都不要看信的内容,直接删除,是因为Outlook等E-manl软件存在着很多的漏洞,可以在你看信的同时,执行一些代码,而这一切的过程都是你看不见的。所以,就算是单纯看看信的内容,也不是完全没有风险。
4.物理接触
相对于Internet上的攻防战,与你的计算机来一次面对面的亲密接触,其危害性之大不言而喻。你可以自己想像一下,一旦黑客可以坐在你的电脑前,对你的电脑进行操作,他所能干的事情还是只局限于木马吗?有时在办公室里面,你因为临时有事,出去了一下,而你的电脑仍然是打开的,这就给那些心怀不轨的人创造了绝好的机会。以下是一些他们惯用的伎俩,你看过之后,在生活中要时刻注意这些情况,确保自己的信息安全:
(1)你和你朋友在家里一块儿上网冲浪。看看网页,聊聊天,突然,你朋友说要喝水或者其他的什么东西,于是你起身到另一间房子里面去给他拿食物和饮料,就在你离去的空档,你朋友从裤兜里掏出一张磁盘,插入你的计算机驱动器,打开,运行,取出磁盘。等你回来的时候,你所见到的仍然是工作正常的计算机,可是谁能猜想到,短短的几分钟,木马已经进人了你的电脑了呢?
(2)假如你在某些情况下,得罪了一些人,而你自己并不知道,这时,他们想通过木马的手段来报复你。于是,他们派出一个人来到你家坐客,你们一块儿上网、聊天、玩、一切看起来都很正常。这时,电话铃响了,电话里,他/她 (当然,这个时候,她更有用)很着急地说:"我有很重要的事情想和你说,你旁边有人吗?如果有的话,请换个地万好吧?我不想让别人听见我和你说的事情。"你很听话地走开了,然后一切和上面描述的一样。
(3)另外一种情况就是CD-ROM的自动运行功能。你也许早就知道,只要一张光盘的根目录下面的autorun.inf有如下内容:
[autorun]
open=setup.exe
icon=setup.exe
那么,当你把这张光盘放进光驱中,setup.exe就会自动执行了。很多游戏光盘都采用这种形式来自动安装,可以想像,你从街边的小摊上花了五六元钱,买来一张你盼望已久的游戏,你把它放进光驱,然后,游戏的setup自动开始了,你的心里绝对是高兴异常,根本不会想到,这个看似正常的setup界面后面,一些可能存在的恶意程序可以给你造成多大的损失。所以,安全起见,你应该把光驱的“自动运行”功能禁止掉:开始->设置->控制面板->系统->设备管理器->CDROM->属性->设置。这样操作下来,你就会看到可以设置你光驱属性的地方了。你这时应该把 "自动运行"前面的勾去掉。
5.浏览器和E-mai软件的Bug
对于浏览器和E-mail软件这种使用频率非常高的软件,每个电脑使用者都应该时刻关注它们的Bug和升级情况,随时保持自己的软件都是最新版,否则,一旦有人利用一些已知的漏洞对你进行攻击,你将在不知不觉中被其攻陷。例如,你使用旧版本的IE测览器测览网页,那么就有可能在既不下载也不执行任何软件的情况下,被感染上木马;同样的事情也会发生在旧版本的Outlook和OutlookExpress身上。所以,随时升级你的软件是至关重要的。下面两个地址是你了解你所使用的软件的Bug的好地方,经常去看看,并且对找自身情况做出防范措施,对你自身的信息安全。大有帮助:
http://www.guninski.corn/browsers.html
http://www.guninski.corn/netscape.html
6.NetBios的文件共享功能
如果你的139号端口开放着。那么很可能,你已经设置了NetBios的文件和打印机共享服务,黑客可以通过这些服务给你上传一个木马程序,并且修改你机器的自启动配置,然后通过DOS攻击让你的计算机死机,你只有重新启动计算机。很显然,这时,木马已经自动运行了。所以,如果不是十分必要,请关闭文件和打印机共享的功能-----你只需要在网络属性中,简单地把它们前面的勾去掉即可。
7.恶意站点和来路不明的共享软件
现在网上充斥着很多架设在免费服务器上面的黑客站点,里面的内容不外乎是和网络技术有关的文章、软件等。正好碰巧,你对此很感兴趣,于是你在一个不起眼的黑客站点里面下载了一个你认为很好的软件,然后试着用它去攻击别人。这个过程中,你有没有想到过,你所下载的文件早就被这个站点的主人感染上了木马,然后诱骗你这种网络新手去上当受骗。尽管有些站点看起来相当专业,分类齐全,资料众多,连接的也都是一些知名网站,可是,我相信只要你用心观察一下站点,它在你心中的可信度马上就会降低很多个等级。
像mIRC,QQ,ICQ,PGP等很流行的网络软件,请一定到它们的官方站点下载最新版本使用。不要相信其他任何无名小站公布的消息。也许某天你在冲浪的时候,在一个地方看到了说有mIRC7.0版本的下载,你看看自己的硬盘,自己的mIRC仍然是6。0的,于是你为了方便,没有去mIRC的官方站点核实一下该升级证明,而是随手点了一下升级说明旁边的下载连接,并且安装好所谓的新版软件。很多情况下,木马就是这样进入了你的计算机。
还有很多时候,你的机器受到木马感染是由于网管或者其他工作人员的不负责任造成的。如果你是一个大型网络安全公司的网管,某天接收到一个人给你发的说是他自己编写的UDP攻击工具,而你没有进行仔细的病毒和木马扫描工作,直接把它放上了网站,这样,你的网站的访问者们有很大的可能就会遭殃。我就知道一个这样的故事:一家游戏杂志有一次搞了一个活动,为了让广大的游戏爱好者加入到他们的游戏编程中来,于是发布了一个通知,让大家自己编写有趣的Demo程序,然后寄给编辑,择优在他们的CD发表。一个家伙写了一个非常漂亮的Demo,并且内嵌了一个自编的木马。编辑收到后,简单地用杀毒软件查了,没发现意外,然后运行了一次,觉得Demo做得不错,于是把Demo放到了他们的CD中,结果那一期买了他们CD的朋友都中了木马,造成了很坏的影响。值得一提的是,现有的杀毒软件,能查杀的病毒和木马数量都非常有限,往往要许多种杀毒软件结合使用,才能确保程序的干净安全。
一些共享或者免费的软件也是非常危险的。没有人能保证软件的作者心术绝对正直,在上10万行的C++代码中,插入几千条木马的代码,并不是每人都有能力能够觉察得到的。所以。对于你经常使用的这些共享或者免费软件,要经常使用搜索引擎搜索关于它们的信息,一般如果有人发现一个比较流行的共享软件有未公开的功能的话,都会在网上公布他的发现,所以,如果你自己没有发现问题的能力,你就应该勤于搜索,不要偷懒。