【IT168 专稿】网上办公如今并不是新鲜事,但一提到网络安全、数据机密,公司管理层就十分头痛,随着网络用户的日夜增多,数据流量的增强,上网频率的提高,常常会造成病毒与木马程序串门,给企业的网络数据以及内部局域网造成了不小的损失。
木马的类型与危害
木马可以带给企业用户无尽的烦恼,要想杀马防马必先了解马的结构,从而将其封杀在电脑门外。
破坏型木马,此木马惟一的功能就是在用户毫不知情的情况下删除并破坏企业用户电脑中的DLL、INI、EXE结尾的文件。
个别用户喜欢帮自己的各种密码以文件明文的形式存放在计算机的某个文件夹中,认为这样很方便,还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。那么密码发送型木马因此而延生了,此木马却是依靠企来用户个人习惯来进行密码记录与查找计算机里的用户隐藏密码,并将其发送到指定的信箱。
如今网络中最流行就的就是特洛伊木马,只要企业用户不小心运行了木马服务端程序,那么黑客就可以实现远程控制此台计算机,从而可以了解企业的内部资料以及绝密文件并将其下载。
另外还有一种键盘记录型特洛伊木马,此木马只会做一件事情,那就是记录企业用户的键盘敲击并且在LOG文件里查找密码。此特洛伊木马可以随着Windows的启动而自启动。具有在线和离线记录两种方式,分别记录企业用户在线和离线状态下敲击键盘时的按键情况。恶意用户可以从这些按键中得到企业计算机的密码\文件\等有用信息,甚至是信用卡账号!从而发送到指定邮箱。
随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当恶意用户入侵了一台企业计算机并种上DoS攻击木马,那么企业计算机就充当了杀手的角色听从恶意用户的指令,形成跳板模式攻击另外的企业计算机导致企业间的计算机战争。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。恶意用户在入侵的同时为了掩盖自己的足迹,谨防让别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。
还有一种类似DoS的木马叫做邮件炸弹木马,一旦企业计算机被感染,木马就会随机生成各种各样主题的信件,对指定的邮箱进行不间断地发送垃圾邮件一直到对方瘫痪、不能接受邮件为止。
而反弹型木马却是企业计算机最大的杀手,该木马与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,从而使企业用户防不胜防,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。
防备木马
木马的种类虽然形形色色,但是只要撑握它的原理与启动方式,那么它还是无法遁形的,恶意用户要想在企业计算机上使用木马,那么还会使用几种方法让木马跑起来.Autorun.inf自启动文件运行,一般恶意用户会事先放到计算机中一个自启动文件其中的内容如下:
[AUTORUN]
open=木马.exe
然后保存为Autorun.inf,并将其和木马程序一块放到对方任意盘符的根目录下(这是利用系统启动进入windows后会自动查找每个磁盘的根目录下的Autorun.inf,一旦找到此文件,系统就会自动运行其中设置的程序),那么企业使用者只要发现磁盘根目录中有可疑的INF文件时,就应注意相对应的启动文件,并立即于以删除,有些恶意用户就相当聪明会将木马启动藏匿于企业计算机的注册表中或是win.ini中此win.ini文件在windows98中位于c:\windows目录下,在windows2000和windowsXp中位于winnt目录下,用记事本打开对方的win.ini文件来写入自启动命令,一但发现命令如下的文件应立即删:
[windows]
load=c:\winnt\木马.exe
当然利用system.ini中挂木马的恶意用户也很多,同上面的方法类似,用记事本打开对方的system.ini文件来写入自启动命令,命令如下:
[book]
shell=EXPlorer.exe c:\winnt\木马.exe
在这里是让对方计算机的资源管理器运行木马程序。最笨的恶意用户会将木马启动程序藏于企业计算机的开始-程序菜单-启动项里,从而达到自启动。木马学的启动原理虽然包罗万象,但万法归宗,始终都是以这最常用的几种作为最基本的自起动规则,来加以各式各样的包装,从而达到随对方计算机一起启动的目的,可以随时随地的控制企业计算机的一举一动!不过只要熟悉了木马的启动特性后,就可以随心所欲地杀马防马了……
企业用户要在自己的电脑上装上杀毒软件,一般的杀毒软件都带有防火墙,一旦发现不明连接就会自动报警,常用的杀毒软件有瑞星2005,KV2005,金山毒霸2005,只要你的电脑里装了其中任何一种软件,并且保持经常升级,那一般的捆绑式木马和网页木马就逃不过它们的眼睛了。因为虽然一般的杀毒软件不会认为木马是病毒,但是用捆绑机捆绑后的木马,都会认为是病毒,网页木马也一般逃不过病毒防火墙的防范。当然杀毒软件并不是木马的专杀工具,因为还有些木马,运行后会自动关闭杀毒软件防火墙,这时候,专杀木马的工具就出现了,如:木马分析专家、木马克星等……另外就是不要接收打开陌生邮件的附件程序,以及恶意网站!就可以避免企业计算机受到损失。
让木马远离企业还企业一片蓝天!
