扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
记得历史上特洛伊木马的故事吗?希腊人围困特洛伊城长达九年的时间。然后在某一天早上,他们似乎是退却了。希腊人站在城墙上望去,看到的不是希腊军队,而是一件礼物——一匹巨大的木马。由于马是特洛伊人的圣物,所以他们费力地将木马拖入城内,没有发现隐藏在其中的希腊士兵。
希腊人进入特洛伊城后,耐心地等待黄昏的来临,然后钻出马外。他们杀死了看守城门的士兵,并打开了城门。最后,特洛伊城陷落了,这正是一句著名谚语“当心希腊人的礼物”的由来。
这只是一个历史故事吗?并不完全是。除非你小心谨慎,否则木马仍有可能造成您的网络的崩溃。一种名为“Brown Orifice HTTPD”(BOH)的新木马,以及另外几种名字恶心的木马——比如Back Orifice(BO)和Deep Throat——开始变得为世人所知。这种程序的危险性在于,一旦进入您的系统的“城墙”,它们就会绕过您的Firebox的检测——除非您在第一时间禁止它们的安装。我们将建立一个秘密连接(尤其是这种连接可以依附在另一种许可的协议上面)的能力称为tunneling(隧道化)。
木马:精心的伪装
与历史上的特洛伊木马相似,大多数木马软件都能对自己进行精心的伪装。一个臭名昭著的例子是NetBus(www.netbus.org),它是一个在Windows NT上使用的远程系统管理工具。是的,NetBus确实提供了远程管理功能,但它的早期版本为知道主机密码(master password)的任何人都额外提供了管理员权限(只需在密码和任何命令后面附加;1)。
Back Orifice(BO)起初只能在Windows 95/98系统上工作,现在也移植到了NT平台。BO隐藏了原本不该提供给普通用户的能力。一个聪明的黑客可以使用BO来弹出或关闭别人的CD-ROM托盘,或者打开麦克风,甚至打开一个摄像头,在远程进行收听和/或监视。BO允许黑客远程运行程序、上传/下载文件、和用户交谈以及关闭计算机。
您或许会问,谁这么笨,会在他自己的计算机上安装如此危险的东西呢?这其实并不怪用户。看见木马时,用户一般看不到它的本来面目。有许多途径都能够传播木马。例如,木马可能成为一个病毒的一部分,甚至成为另一个程序的一部分。一个名为BO Sniffer的程序声称能检查系统中的BO,然后告诉您系统中没有BO,但它实际上会安装并运行BO。一个游戏程序(Bopper)也能在您启动游戏的时候安装BO。
WatchGuard经常向LiveSecurity订户发送安全警告,提醒大家留意排名前十的、处于“野生形态”的病毒和木马。“野生形态”意味着病毒和木马软件不仅在实验室中发现,还在人们的办公和家用电脑中发现。木马所造成的风险是实际存在的,而非只是理论上的东西。正如这些报告所指出的,如果您运行安装了最新更新的病毒扫描软件,那么应该能检测到已知的病毒和木马版本。
最脆弱的地方:城市“大门”
Microsoft产品在木马面前尤其脆弱。Microsoft于过去两年发布了大量警报,它们涉及InternetExplorer、Outlook以及Outlook Express的多处安全漏洞。利用这些漏洞,远程攻击者能在受害者的系统上执行恶意程序。换言之,用户仅仅访问一下网页或者接收一下电子邮件,就可能在不知不觉间下载一个恶意程序,允许远程攻击者在用户的系统上执行指令。
针对Windows 9x和NT系统,存在着大量木马程序。每天都会出现新的木马。及时更新病毒扫描软件,有助于维持一个无木马的系统。除此之外,您还可以采取其他对策:
§使用netstat程序(NT和UNIX系统自带)来列出当前打开的端口地址;检查以前没有见过或者无法辨识的新服务。
§在Windows 9x、NT和2000系统上,大多数木马程序都会在安装时修改一个注册表项。在Run和RunService项中(具体位于注册表的Start\Run\type "regedit"\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion文件夹中),包含了每次电脑开机时会运行的一系列程序。有的程序是固定在此处列出的(其中一部分由Microsoft安装,另一部分由其他厂商安装,其中包括WatchGuard)。在这些注册表项中,请注意来路不明的新值。木马甚至可能利用RunOnce项,或者像system.ini这样的文件。
§Lsof是一个有用的工具,它能将一个开放的端口同一个服务关联起来(在Unix中,使用lsof -i tcp:port或者udp:port)。Lsof在许多UNIX系统上都是自带的;另外,只需低廉的费用,就可以获得在Windows NT和2000系统中使用的类似程序(或者免费获取,具体参见本文最后的“参考资源”)。
虽然Microsoft软件的bug平均一周就会被发现一个,但大多数bug都无法利用来执行代码(通常,只能利用这些bug读取文件或者使软件崩溃)。无论如何,您最好每次在Microsoft出公告的时候安装最新的Microsoft更新,或者避免使用Microsoft软件来访问Web或者读取电子邮件。不过,即使其他厂商的产品,目前也暴露出了许多脆弱性。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。