奇虎360安全中心最近發布的《互聯網不安全報告》中披露,2007年上半年奇虎共截獲病毒、惡意軟件及木馬程序共計168135個,其中木馬程序占據了80%的比例。比如著名的“灰鴿子”木馬,僅不完全統計就有大概6萬個變種。 可見在現今階段的互聯網,木馬的危害已經占據了主導。
談“馬”色變並不是空穴來風,你可能覺得自己已經安裝了最新版本的殺毒軟件和防火牆,自認銅牆鐵壁、百毒不侵。可要命的變種木馬程序讓病毒庫防不勝防。畢竟是先有病毒,再有病毒庫更新。目前各大殺毒公司紛紛進入主動殺毒/防御領域,正是因為大家已經意識到面對最新木馬病毒的查殺,時間是最關鍵的因素!
那現階段呢?我們這些飽受侵害的用戶該做些什麼呢?其實木馬發展到現在,最重要的因素就是其很好的利用了社會工程學原理,在偽裝和侵入方式上下足了功夫。這對於木馬的整個入侵程序來說最為重要——換句話說:你需要運行木馬,才能讓自己的計算機中招!今天就針對這一環節,,分析當前木馬慣用伎倆,不用殺毒軟件也能分辨出木馬程序。
木馬攻擊原理
木馬變種再多,功能再強大,整個木馬病毒的體系也只分為兩大部分:客戶端和服務端。一般情況下黑客會使用客戶端編譯出一個負責其自己要求的服務器端,倘若有人運行了這個服務器端程序,則他的電腦就真的成為了黑客的服務器,任其宰割了。當然,殺毒軟件和電腦使用者不會這麼“笨”,它們可以通過病毒的關鍵碼和形態上分出該程序的性質,所以黑客就需要對木馬進行包裝和加強——也就是偽裝和變種。
特別提示:現在大部分的木馬都已經采用了反彈式連接,普通防火牆很難再防御住這些木馬,這主要是由於防火牆針對外部連接比較敏感,而對於內部向外連接的審查力度卻小很多造成的。
原程序偽裝
這種屬於木馬偽裝中最基本的方式。以灰鴿子為例,在服務端配置的安裝選項裡可以更改程序的圖標和釋放路徑,在啟動設置中能夠自定義注冊表和服務的名稱,甚至可以關聯到iexplore.exe,讓木馬程序隨時整裝待命。
豐富的偽裝功能
試想你運行的程序圖標如果和常見的setup類似,而且將木馬以system.exe放到windows目錄下,並且與iexplore.exe一同啟動,即便是在注冊表和服務中也找不到蛛絲馬跡。此時你還會認為剛才運行的程序是木馬嗎?
防范這些其實很簡單。程序圖標變,我們可以顯示所有文件的類型,倘若發現一個看起來像文本的文件在顯示後綴名後變成了exe類型,趕緊刪了吧,它肯定不是什麼好東西。注冊表和系統服務有變化,可以利用殺毒軟件的監視功能,或者是Regsnap等進行比照,然後將看起來很像系統服務名的內容送給google檢查,沒有這方面的信息?那它可以消失了!
可能最難防范的就屬在系統目錄中放置程序的問題了。除了平常監視諸如system、windowns目錄外,還需要對文件名稱做直觀的判斷,由於目前木馬偽裝越來越成熟,這裡建議大家:越是看起來像系統文件的越要注意。
捆綁偽裝
文件捆綁技術並不是什麼新玩藝。這種技術應用在木馬上的最主要原因是對上面提到的原程序偽裝的延續。換句話說,上面原程序偽裝了半天,用戶一旦運行發現沒有任何效果肯定會產生疑問,而此時如果將一個其它程序注入到木馬中同時進行,就會更好的遮人耳目了。
如果我們遇到一些程序,可以使用一些查捆綁的工具(點擊下載),如果查詢到存在捆綁文件,還是小心為妙。
捆綁分析
網頁偽裝保護
網頁木馬現在非常常見,因為黑客只要將木馬嵌入到網頁中,誘騙用戶浏覽該網頁就可讓其中招,同樣類似的還有電子郵件木馬,方式上二者類似。
這種木馬最難防范,在主動防御技術還沒有得到廣泛應用之前,我們通過提升IE的安全級別,禁止腳本運行等方式來杜絕這類木馬。但現在的嵌入技術包含了代碼保護,所以防范起來還是不具有普遍性。