奇虎360：2007年上半年中国互联网不安全报告

第三章木马程序盗号技术分析

(一) 木马盗号流程

木马程序盗号示意图

由上图可见，木马盗号的过程基本上可以分为四个环节：

ü 通过特定的传播途径侵入用户电脑系统；

ü 注入特定的目标应用程序；

ü 窃取目标应用程序中的用户帐号信息；

ü 发送给盗窃者邮箱或远端服务器；

一般来说，木马程序一旦窃取了用户帐号信息之后，会采用电子邮件的方式发送给某个邮件地址， 或者访问某个远端服务器将窃取信息传送过去。而且这些操作都可以以隐蔽的方式执行，例如将窃取信息的发送混杂在用户自己发送电子邮件或使用浏览器的操作 中，这样一般的防火墙是难以甄别的，即使提示用户也无法判断。因此，防范木马盗号绝不能仅靠最后环节的防火墙监控，在前面几个环节就必须施加安全保护措 施。

木马程序常用技术手段分析

1) 木马程序是如何侵入用户电脑的

木马程序虽不像病毒一样复制自身并感染其他文件，但是在互联网时代，木马程序通过多种方式具有更强的传播性：

a) 恶意网页 ：用户在浏览网站时，某些恶意网站通过恶意脚本代码，即可利用系统漏洞在浏览者电脑中植入木马，令人防不胜防。

b) 移动存介质（例如U盘）：Windows系统默认开启了移动介质的自动运行功能，只要系统中一插入U盘，U盘中的木马程序就会被自动运行从而侵入电脑中，这就使得木马程序极易通过移动介质在不同电脑中传播。

c) 软件下载安装：现在用户可以在很多下载站点，或者使用BT、迅雷、快车等软件下载工具非常便捷地下载安装共享软件。但是很多共享软件中往往捆绑插件或木马程序，并且在用户不知情的情况下同时安装到电脑中。由于恶意软件的泛滥，很多软件作者通过软件捆绑来赚钱，他们往往并不会分辨所捆绑软件的好坏。甚至有些软件本身只是一个下载器（也可能会装扮成某个实用功能），它的真正目的就是在后台不断地下载安装其他软件，许多木马程序就是通过这种方式进入用户电脑的。

d) IM消息：利用QQ或MSN发送欺骗性的消息，诱使用户点击传送的文件，或点击消息中的网页链接，从而将木马程序植入用户电脑。

e) 垃圾邮件：发送垃圾邮件，当用户打开邮件中的附件时将木马程序植入系统，或者诱使用户访问特定的网页，以植入木马程序，或者通过钓鱼网页直接骗取用户帐号。

值得注意的是，很多情况下，木马程序是利用Windows系统的漏洞（众所周知，微软的操作系统及应用软件存在众多的安全漏洞）而侵入用户电脑系统的。

一旦被木马程序侵入系统，如果木马程序的编制者技术高超，可以说用户的电脑就是任人摆布了。所以防止木马盗号的首要环节，就是必须堵住系统的漏洞，并且尽可能堵住木马的传播途径。

(二) 木马程序盗号的主要技术手段

当木马程序侵入系统后，它们窃取用户帐号所采用的技术手段通常有以下几种：

1) 键盘记录

常见的方法有利用系统提供的消息钩子注入到目标进程中，过滤并截获键盘输入消息。也有木马采用更底层的技术，例如采用键盘过滤驱动来截获键盘输入。

2) 屏幕监视

在后台开启一个程序，进行小范围和低速屏幕录制或截图。

3) 读取目标程序内存数据

寻找目标程序的内存中的敏感数据，读取并进行解密。

4) 钓鱼和域名劫持

木马程序可以修改系统的host文件，当用户登录银行等官方网站时，将被引导至一个伪造的钓鱼网站，如果用户在这里进行登录操作，个人帐号信息就会丢失。

5) 伪造登录窗口

木马程序如果发现用户执行某些特定程序的登录操作，立即屏蔽掉原始窗口，在其上构造一个伪造的登录窗口（通常会与真正窗口的样子完全一致），截获用户的输入操作。

6) 盗取数字证书：

在用户电脑中寻找数字证书文件，将其发生给盗窃者。

7) 解密网络传输数据包

分析目标程序客户端和服务器端通信的传输数据，尝试解密数据包。

8) 利用社会工程学进行破解

在用户电脑中寻找特殊文件，比如“pwd.txt”、“密码.rar”等等，将其发生给盗窃者。

360安全中心分析所截获的木马程序样本，发现绝大多数木马程序都必须经过两个环节来实施盗号行为：1）注入特定的目标应用程序；2）通过截获键盘输入或截取屏幕来窃取用户输入的帐号信息。所以防治木马盗号，必须有针对性地卡死这两个环节。

(三) 仅仅依靠杀毒软件难以有效解决木马盗号问题

虽然绝大多数盗号行为是通过木马程序实施的，而且杀毒软件也都包含了木马查杀功能，但是仅仅依靠杀毒软件是难以有效解决木马盗号问题的。这是因为：

1) 目前杀毒软件查杀病毒最有效的手段还是基于病毒特征库扫描的方式，对未知木马难以有效识别和清除。而基于行为判断的主动防御技术目前还不成熟，非常容易误报，或者用户难以理解报警的原因，这给用户带来非常大的骚扰。

2) 现在有很多专门制作木马的工具，以及专门给木马加壳的工具，使得木马的制作变得非常容易，而且大部分木马制作出来后都会采用加壳技术变形以躲过杀毒软件的查杀。

3) 杀毒软件依赖特征库进行扫描和识别，本质上是一种事后的处理技术。这意味着只有采集到木马程序样本，才能将其纳入病毒特征库。但由于制作和传播技术的简单，已经出现大量“小众化”的木马，传播面不大，难以被杀毒软件采集到样本，因而杀毒软件也就难以清除。

由此亦可见，仅仅查杀木马是难以有效保护网上帐号的安全的。因为木马查杀也是基于特征库的扫描技术，只能查杀安全厂商已知的木马程序。这也是为什么众多用户已经安装了杀毒软件或者个人防火墙，仍然频频发生盗号的原因。