【正文】
企业都会监控许多异常网络流量,但现在有越来越多黑客开始透过植入MSN机器人程序(Bot,也称傀儡程序),让黑客可下令窃取数据、回传该台电脑的所有文件,甚至是操作中的屏幕截图。目前企业无法察觉这种MSN机器人的异常流量,除非由微软检查连上MSN服务器联机程序的内容,不然只有企业全面禁用MSN才能防范。
这种植入MSN机器人程序的手法受黑客欢迎的原因在于,MSN机器人程序模仿MSN的联机型态,企业MIS难以从网络流量察觉异常,所以很难早期发现,企业是否有计算机被植入MSN机器人程序。
早期的机器人程序都是从网络聊天室(IRC),或者是其它Web-based的网络服务漏洞,由黑客趁机植入各种木马程序。这一次的MSN机器人程序,刚开始的手法还是一样,依旧是透过各种漏洞、植入各种后门程序,或者是透过电子邮件的恶意连结,直接联机下载木马程序、恶意程序,或者是先下载Downloader后,再听从黑客指令,连网更新恶意程序。
这个MSN机器人往往是潜伏一阵子后,才开始「正常活动」。这个MSN机器人程序完全模仿真正的MSN程序,不论是外观、计算机图标(icon)甚至是连网行为,同样透过MSN常用的1683端口对外联机,也同样连上微软MSN的服务器。这些大量涌入的MSN机器人,某种程度也造成MSN联机的拥堵,导致一般MSN联机出现不稳的现象。
黑客老早为这个MSN机器人注册一个MSN账号,并加入自己的MSN好友名单中。当MSN机器人听令开始正常活动时,受骇计算机使用者不会察觉MSN机器人与黑客之间所有的活动。黑客只需要透过MSN讯息下达各种指令,MSN机器人就会立即反应,不论是回传该台电脑的文件数据或执行程序清单,甚至,MSN机器人也可以立即截取当时操作者的屏幕画面,并以图片回传给黑客。
这个MSN机器人并不是盗用使用者的MSN账号,而是一个模仿MSN程序,会自动联机,也会设法隐藏自己身影的恶意程序,同样手法也适用其它IM软件。如果使用者当时有启动微软的Windows Messenger,该台电脑就会有2个MSN联机,否则就只有黑客的MSN机器人呈现联机状态。
这种MSN机器人其实就是另外一种变形的傀儡网络(Botnet),黑客下命令的方式从以前的IRC改成MSN。由于这样手法有逐渐扩散的趋势,加上同一名黑客掌握的MSN机器人可能超过千台,目前最有效阻挡MSN机器人窃取数据的方式,就是由微软在MSN服务器解析联机程序的内容,进而阻挡可疑的联机。但目前这个方法过于耗时费力,加上误判风险极高,短期内尚未有其它更有效的阻挡方式。
MSN机器人程序之所以能入侵使用者计算机,还是因为该计算机原本就有漏洞让黑客有机可趁。企业若不能从网络段察觉异常,不是限制实时通讯软件的使用,就是设法确保使用者计算机的安全性,断绝黑客入侵机会。
