| 知識普及:木馬病毒的發展史 |
|
|
| 睡不著 2008-03-13 |
計算機世界中的特洛伊木馬病毒的名字由《荷馬史詩》的特洛伊戰記得來。故事說的是希臘人圍攻特洛伊城十年後仍不能得手,于是阿迦門農受雅典娜的啟發:把士兵藏匿于巨大無比的木馬中,然後佯作退兵。當特洛伊人將木馬作為戰利品拖入城內時,高大的木馬正好卡在城門間,進退兩難。
夜晚木馬內的士兵爬出來,與城外的部隊裡應外合而攻下了特洛伊城。而計算機世界的特洛伊木馬(Trojan)是指隱藏在正常程序中的一段具有特殊功能的惡意代碼,是具備破壞和刪除文件、發送密碼、記錄鍵盤和攻擊Dos等特殊功能的後門程序。
第一代木馬 :偽裝型病毒
這種病毒通過偽裝成一個合法性程序誘騙用戶上當。世界上第一個計算機木馬是出現在1986年的PC-Write木馬。它偽裝成共享軟件PC-Write的2.72版本(事實上,編寫PC-Write的Quicksoft公司從未發行過2.72版本),一旦用戶信以為真運行該木馬程序,那麼他的下場就是硬盤被格式化。在我剛剛上大學的時候,曾聽說我校一個前輩牛人在WAX機房上用BASIC作了一個登錄界面木馬程序,當你把你的用戶ID,密碼輸入一個和正常的登錄界面一模一樣的偽登錄界面後後,木馬程序一面保存你的ID,和密碼,一面提示你密碼錯誤讓你重新輸入,當你第二次登錄時,你已成了木馬的犧牲品。此時的第一代木馬還不具備傳染特征。
第二代木馬 :AIDS型木馬
繼PC-Write之後,1989年出現了AIDS木馬。由于當時很少有人使用電子郵件,所以AIDS的作者就利用現實生活中的郵件進行散播:給其他人寄去一封封含有木馬程序軟盤的郵件。之所以叫這個名稱是因為軟盤中包含有AIDS和HIV疾病的藥品,價格,預防措施等相關信息。軟盤中的木馬程序在運行後,雖然不會破壞數據,但是他將硬盤加密鎖死,然後提示受感染用戶花錢消災。可以說第二代木馬已具備了傳播特征(盡管通過傳統的郵遞方式)。
第三代木馬:網絡傳播性木馬
隨著Internet的普及,這一代木馬兼備偽裝和傳播兩種特征並結合TCP/IP網絡技術四處泛濫。同時他還有新的特征:
1,添加了“後門”功能。
所謂後門就是一種可以為計算機系統秘密開啟訪問入口的程序。一旦被安裝,這些程序就能夠使攻擊者繞過安全程序進入系統。該功能的目的就是收集系統中的重要信息,例如,財務報告、口令及信用卡號。此外,攻擊者還可以利用後門控制系統,使之成為攻擊其它計算機的幫兇。由于後門是隱藏在系統背後運行的,因此很難被檢測到。它們不像病毒和蠕蟲那樣通過消耗內存而引起注意。
2,添加了擊鍵記錄功能。
從名稱上就可以知道,該功能主要是記錄用戶所有的擊鍵內容然後形成擊鍵記錄的日志文件發送給惡意用戶。惡意用戶可以從中找到用戶名、口令以及信用卡號等用戶信息。這一代木馬比較有名的有國外的BO2000(BackOrifice)和國內的冰河木馬。它們有如下共同特點:基于網絡的客戶端/服務器應用程序。具有搜集信息、執行系統命令、重新設置機器、重新定向等功能。 當木馬程序攻擊得手後,計算機就完全在黑客控制的傀儡主機,黑客成了超級用戶,用戶的所有計算機操作不但沒有任何秘密而言,而且黑客可以遠程控制傀儡主機對別的主機發動攻擊,這時候背俘獲的傀儡主機成了黑客進行進一步攻擊的擋箭牌和跳板。
雖然木馬程序手段越來越隱蔽,但是蒼蠅不叮無縫的蛋,只要加強個人安全防範意識,還是可以大大降低"中招"的幾率。對此筆者有如下建議:安裝個人防病毒軟件、個人防火牆軟件;及時安裝系統補丁;對不明來歷的電子郵件和插件不予理睬;經常去安全網站轉一轉,以便及時了解一些新木馬的底細,做到知己知彼,百戰不殆。
|
|
|
|
|
 |
|
|
|
|
|
|
|
