盜號木馬遵循商業規律 2009年或將遞減

　　作者：木淼鑫

　　【賽迪網-IT技術報道】2008年針對網絡游戲的盜號木馬程序是2007年的3倍，2009年已經步入商業渠道的盜號木馬卻可能因循商業規律而開始出現遞減。

　　雖然絕大多數網絡游戲禁止以真實貨幣的方式交易虛擬資產，但依然有大量買家為了輕易享受游戲的快樂，不管所購虛擬資產是否合法而支付大量真實貨幣。正是這類買家的大量出現，刺激了盜號木馬產業鏈的畸形繁榮。

　　但卡巴斯基實驗室的相關人士卻表示，2009年針對在線游戲的木馬數量將開始下降，這主要是由於網絡游戲市場的網絡犯罪正在趨於飽和。

　　卡巴斯基實驗室的相關人士認為，盜號木馬集團之間的競爭正在日趨激烈化，盜號木馬的制作日益傻瓜化，依靠盜取虛擬資產來獲取利潤的行為也相應縮水。反病毒公司能夠設法處理如潮水般湧來的游戲惡意程序，用戶也逐漸意識到安全的重要性，並且游戲公司也已采取措施來制止非法行動，保護被盜的賬戶和虛擬資產。正是這一系列的連鎖反應，將使得盜號木馬及相關木馬產業鏈逐漸萎縮。

　　未來，網絡詐騙與網絡釣魚將愈發凸顯更將強大的威脅，社會工程學會被網絡犯罪分子更加頻繁與深入的利用。

　　作為一名站長，如何才能保障網站後台的安全，是一件非常重要的事情。筆者將一些常見的問題整理出來，希望能站長能夠得到幫助。

　　1、後台用戶名和密碼是否是明文保存的？

　　建議增加昵稱字段，區別後台的用戶，同時對用戶名和密碼進行非規范的md5加密，例如加密以後截取15位字串。

　　2、管理成員是否有權限的劃分

　　一旦沒有劃分權限，一個編輯用戶的帳戶失竊也可能為你帶來災難性的後果

　　3、是否有管理日志功能

　　管理日志必須在近幾日無法被刪除，這是分析入侵者入侵手法的重要依據。

　　4、後台入口是否隱秘

　　不要愚蠢地將入口暴露在前台頁面中，也不要使用容易被猜測到的後台入口地址。

　　5、後台頁面是否使用了meta robots協議限制搜索引擎抓取

　　Google工具條，百度工具條，或者不經意間出現的後台鏈接都可能導致你的後台頁面被搜索引擎發現，這時候在meta中寫入禁止抓取的語句是個明智的選擇，但是，切莫將後台地址寫入robots.txt，參照第四點。

　　6、管理頁面是否做了防注入

　　粗心的程序員往往只考慮了前台頁面的注入。

　　7、access是否有自定義數據庫備份功能

　　這是asp+access系統中最臭名昭著的功能，自定義數據庫備份可以讓入侵者輕松獲得webshell

　　8、是否有自定義sql語句執行功能

　　同第7點。

　　9、是否開啟了在線修改模板功能

　　如果沒有必要，建議不要開啟，防止對方輕易插入跨站腳本。

　　10、是否直接顯示用戶提交的數據

　　任何時候，用戶的輸入都是不可信的，設想如果對方輸入了一段惡意js，而你在後台沒有任何防護的情況下就打開？

　　11、編輯器的漏洞是否清除，是否已經去除了無意義的功能

　　最有名的例子就是ewebeditor的數據庫漏洞，默認用戶名密碼漏洞等

　　對於網站後台的安全問題，任何一個環節的疏忽都可能導致災難性的後果，大家須時時注意。

　　作者：木淼鑫

　　【賽迪網-IT技術報道】“菠蘿穴”木馬家族新成員Packed.PolyCrypt.kl“菠蘿穴”變種kl實為經過特殊處理的“黑防專版”灰鴿子遠程控制木馬。

　　Packed.PolyCrypt.kl“菠蘿穴”變種kl采用“Borland Delphi 6.0 - 7.0”編寫，經過多層加殼保護。

　　“菠蘿穴”變種kl運行後，會自我復制到被感染計算機系統的“%SystemRoot%/”目錄下，重新命名為“twunk_31.exe”，設置文件屬性為“系統、只讀、隱藏”，然後會將原文件進行刪除，以此消除痕跡。

　　“菠蘿穴”變種kl運行後會將惡意代碼注入到新創建的“IExporer.exe”進程中隱密運行。在被感染計算機後台不斷嘗試與控制端(IP地址為：125.42.*.243:8000)進行連接，一旦連接成功，則被感染的計算機系統便會淪為駭客的傀儡主機。駭客通過該木馬，可以向被感染的計算機發送惡意指令，從而執行任意控制操作，其中包括：文件管理、進程控制、注冊表操作、遠程命令執行、屏幕監控、鍵盤監聽、鼠標控制、音頻監控、視頻監控等，會給被感染計算機用戶的個人隱私甚至是商業機密造成不同程度的侵害。

　　駭客還可以向傀儡主機發送大量的病毒、木馬、流氓軟件等惡意程序，從而給用戶構成了更加嚴重的威脅。

　　“菠蘿穴”變種kl會通過在系統注冊表啟動項中添加鍵值“twunk_31.exe”的方式來實現木馬的開機自啟。