木馬的種類:①遠程控制木馬。例如冰河②密碼發送木馬。例如 QQ 木馬③鍵盤記錄木馬。壹般的木馬都具有這功能④破壞性質的木馬。⑤代理木馬。在肉雞上作跳板的木馬。⑥FTP 木馬⑦反彈端口型木馬。簡單來說就是反防火墻的木馬,例如網絡神偷⑧dll 木馬。這是現在最新出來的采用進程插入技術的木馬,是最難對付的木馬之壹。⑨綜合型。
想不中木馬,先要了解木馬植入的慣用伎倆(很多病毒的傳播也是利用同樣的手段,因為木馬也算是病毒的壹種):
1. 郵件傳播:木馬很可能會被放在郵箱的附件裏發給妳,當妳在沒采取任何措施的情況下下載運行了它,即便中了木馬。因此對於帶有附件的郵件,妳最好不要下載運行,尤其是附件名為*.exe的,並且請養成用殺毒軟件掃描附件的習慣。
2. QQ傳播:因為QQ有文件傳輸功能,所以現在也有很多木馬通過QQ傳播。惡意破壞者通常把木馬服務器程序通過合並軟件和其他的可執行文件綁在壹起,然後騙妳說是壹個好玩的東東或者是PLMM的照片,妳接受後運行的話,妳就成了木馬的犧牲品了。
3. 下載傳播:在壹些個人網站或論壇下載軟件時有可能會下載到綁有木馬服務器的東東。所以建議要下載工具的話最好去比較知名的網站。在解壓縮安裝之前也請養成對下好的軟件進行病毒掃描的習慣。
在這裏提醒壹下,若被殺毒軟件掃描到有病毒請立即清除。不要以為不運行這些帶木馬的文件就可以了,下面這種木馬植入方法專門用來對付有此想法的人。
4. 修改文件關聯。這是木馬最常用的手段之壹,比方說正常情況下txt文件的打開方式為Notepad.exe(記事本),攻擊者可以把txt文件打開方式修改為用木馬程序打開,這樣壹旦妳雙擊壹個txt文件,原本應用記事本打開的,現在卻變成啟動木馬程序了!當然,不僅僅是txt文件,其它諸如htm、exe、zip、com等都是木馬的目標。對付文件關聯木馬,只能檢查“HKEY_CLASSES_ROOT\文件類型\shell\open\command”這個子鍵,查看其鍵值是否正常。
5. 直接運行植入。壹般是利用系統漏洞把配置好的木馬在目標主機上運行就完成了。有關系統安全策略後文會作進壹步的講解。
6. 網頁植入。現在比較流行的種植木馬方法,也是黑客們慣用的無形殺手,即所謂的網頁木馬。經常上網的朋友是不是發現在瀏覽網頁的時候,瀏覽器動不動就會彈出幾個提示窗口,其中看見最多的就數3721的提示窗口了。這些窗口的源代碼中包含了ActiveX控件,如果不安裝裏面的控件,以後仍然會出現這種窗口,並且網頁的功能就不能實現了。利用這壹點,可以制作壹個ActiveX控件,放在網頁裏面,只要用戶選擇了安裝,就會自動從服務器上下載壹個木馬程序並運行,這樣就達到植入木馬的目的了。按此方法制作的木馬對任何版本的IE都有效,但是在打開網頁的時候彈出對話框要用戶確定是否安裝,只要用戶不安裝,黑客們就以點辦法也沒有了。所以當上網的時候彈出對話框詢問是否安裝某軟件或插件,請務必看清楚此消息的來源站點。若是知名網站根據實際需要選擇是否安裝,若是比較少見或沒見過的網址甚至根本看不到網址請毫不猶豫的點擊“否”並關閉該窗口。另壹類木馬主要是利用微軟的HTML Object標簽的壹個漏洞,Object標簽主要是用來把ActiveX控件插入到HTML頁面裏。由於加載程序沒有根據描述遠程Object數據位置的參數檢查加載文件的性質,因此Web頁面裏面的木馬會悄悄地運行。對於DATA所標記的URL,IE會根據服務器返回HTTP頭中的Content-Type來處理數據,也就是說如果HTTP頭中返回的是appication/hta等,那麽該文件就能夠執行,而不管IE的安全級別有多高。如果惡意攻擊者把該文件換成木馬,並修改其中ftp服務器的地址和文件名,將其改為他們的ftp服務器地址和服務器上木馬程序的路徑。那麽當別人瀏覽該網頁時,會出現“Internet Explorer腳本錯誤”的錯誤信息,詢問是否繼續在該頁面上運行腳本錯誤,當點擊“是”便會自動下載並運行木馬。以上兩種網頁木馬都會彈出安全提示框,因此不夠隱蔽,遇到此情況只要看清消息來源的站點,再視情況判斷有沒必要點擊“是”。還有壹種網頁木馬是直接在網頁的源代碼中插入木馬代碼,只要對方打開這個網頁就會中上木馬,而他對此還是壹無所知。在這裏提醒各位網民,對於從未見過的URL(通常都是個人網站/論壇),最好不要訪問。
那麽怎樣判斷自己的電腦是否中了木馬,中了木馬時有什幺現象?很難說,因為它們發作時的情況多種多樣。
但是如果妳的計算器有以下表現,就很可能染上黑客病毒了。
計算器有時死機,有時又重新激活;在沒有執行什麽操作的時候,卻在拼命讀寫硬盤;系統莫明其妙地對軟驅進行搜索;沒有運行大的程序,而系統的速度越來越慢,系統資源占用很多;用CTRL+ALT+DEL調出任務表,發現有多個名字相同的程序在運行,而且可能會隨時間的增加而增多。(可是,有壹些程序是不會出現在這個列表裏的。懂得編程的朋友應該知道這不難做到,借助PVIEW95就可以看到)。特別是在連入Internet網或是局域網後,如果妳的機器有這些現象,就應小心了,當然也有可能是壹些其它的病毒在作怪。由於木馬程序的破壞通常需要裏應外合,大多數的木馬不如病毒般可怕。即使運行了,也不壹定會對妳的機器造成危害。不過,潛在的危害還是有的。比如,妳的上網密碼有可能已經跑到別人的收件箱裏了!
我們也可以利用查看本機開放端口的方法來檢查自己是否被種了木馬或其它黑客程序。妳在網絡上沖浪,別人和妳聊天,妳發電子郵件,必須要有***同的協議,這個協議就是TCP/IP協議,任何網絡軟件的通訊都基於TCP/IP協議。如果把互聯網比作公路網,電腦就是路邊的房屋,房屋要有門妳才可以進出,TCP/IP協議規定,電腦可以有256*256扇門,即從0到65535號“門”,TCP/IP協議把它叫作“端口”。當妳發電子郵件的時候,E-mail軟件把信件送到了郵件服務器的25號端口,當妳收信的時候,E-mail軟件是從郵件服務器的110號端口這扇門進去取信的,妳現在看到的我寫的東西,是進入服務器的80端口。新安裝好的個人電腦打開的端口號是139端口,妳上網的時候,就是通過這個端口與外界聯系的。黑客也是通過端口進入妳的電腦。因此,我們可以利用查看本機開放端口的方法來檢查自己是否被種了木馬或其它黑客程序。以下是詳細方法介紹:
①Windows本身自帶的netstat命令
此命令是顯示協議統計和當前的 TCP/IP 網絡連接。該命令只有在安裝了 TCP/IP 協議後才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
-a顯示所有連接和偵聽端口。服務器連接通常不顯示。
-e顯示以太網統計。該參數可以與 -s 選項結合使用。
-n以數字格式顯示地址和端口號(而不是嘗試查找名稱)。
-s顯示每個協議的統計。默認情況下,顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定默認的子集。
-p protocol顯示由 protocol 指定的協議的連接;protocol 可以是 tcp 或 udp。如果與 -s 選項壹同使用顯示每個協議的統計,protocol 可以是 tcp、udp、icmp 或 ip。
-r顯示路由表的內容。
interval重新顯示所選的統計,在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數,netstat 將打印壹次當前的配置信息。
如果發現有異常的端口出現,就有可能是木馬常用的端口被占用。立即斷開網絡,用病毒庫升級到最新的殺毒軟件查殺病毒。
②工作在windows2000下的命令行工具fport
Fport是FoundStone出品的壹個用來列出系統中所有打開的TCP/IP和UDP端口,以及它們對應應用程序的完整路徑、PID標識、進程名稱等信息的軟件。在命令行下使用,請看例子:
D:\>fport.exe
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
.yeah.net下載病毒感染模擬器。
若妳的計算機發生以上狀況,千萬不要遲疑,遵循以下步驟處理:
1:立刻斷開網絡。
2:找“決對幹凈”的DOS系統磁盤啟動計算機。這時,記得要關上這張磁盤個寫保護。
3:用殺毒軟件開始掃描病毒。
4:若偵測到是文件中毒時,則有三種方試處理:刪除文件、重命名文件或是請除病毒。記住:千萬不要對中毒文件置之不理,特別是不能讓其停留在可執行文件中。
5:若偵測到的是硬盤分區或引導區的病毒時,則妳可以用幹凈的DOS磁盤中的FDISK指令,執行FDISK/MBR命令,以恢復硬盤的引導信息;或是在A驅中執行A:/>SYS C:(C:為中毒磁盤),以救回硬盤引導區的資料。
6:現在,可以重新建文件、重新安裝軟件或 ,準備備份資料,請切記,備份資料在重新導入系統前,應先進行掃描,以防萬壹。
7:千萬記住,重新建文檔到開始運行之前。應再次掃描整個系統,以免中毒文件不小心又被存入系統中。
8:現在可以安心的開始操作計算機了。
(六)Windows系統安全隱患
許多系統都會有這樣那樣的安全漏洞(Bugs),其中壹些是操作系統或應用軟件本身具有的。如緩沖區溢出攻擊、Windows98中的***享目錄密碼驗證漏洞和IE5漏洞等,這些漏洞在補丁未被開發出來之前壹般很難防禦黑客的破壞,除非妳將網線拔掉;另壹些是利用協議漏洞進行攻擊,如攻擊者利用POP3壹定要在根目錄下運行的這壹漏洞發動攻擊,破壞根目錄,從而獲得超級用戶的權限;還有壹些漏洞是由於系統管理員配置錯誤或疏忽引起的,如在網絡文件系統中,將目錄和文件以可寫的方式調出,將未加Shadow的用戶密碼以明碼方式存放在某壹目錄下,這都會給黑客帶來可乘之機。
防範措施:①個人用戶推薦使用Windows XP Professional。這個號稱Windows家族最穩定的操作系統,基於NT內核的融合,與以前的各版本相比具有更加安全和更加保密的安全特性,它對系統安全性所做的改善,大大加強了用戶建立安全、保密的系統環境的系數。②及時給系統打補丁。可以使用Windows自帶的“Windows update”,建議至少每周更新壹次,並多留意下官方網站的安全公告。③安裝殺毒軟件和防火墻。強烈建議至少每周對其更新壹次。
另外我們也應充分利用Windows XP的安全特性進行壹些必要的安全配置:①使用XP自帶的免費Internet連接防火墻。②利用Windows XP內置的IE6.0來保護個人隱私。我們可以在IE6.0中定義透露個人信息的具體參數選項,瀏覽器會在用戶上網時,自動判斷所訪問的站點的安全、可信等級,根據預先設定的隱私參數,來限制信息方面的流通。③利用加密文件系統(EFS)加密。在Windows XP中EFS使用擴展數據加密標準作為加密算法,EFS自動地為用戶生成壹對密鑰和證書,並在利用了CryptoAPI結構的情況下以公鑰加密為基礎。加密後的文件夾將限制、識別用戶是否屬於非法訪問,只有對這個文件進行加密的用戶可以打開這個文件並使用它。要對文件進行加密,首先妳得有NTFS分區,然後右擊要加密的文件夾,在彈出的文件夾屬性的“常規”欄裏依次選擇“高級”→“加密內容以便保護數據”→“確定”→“將更改應用於該文件夾、子文件夾和文件”→“確定”,這樣,該文件夾、子文件夾及文件都已加密。需要註意的是當對文件夾進行了加密後,壹定要制作備份密鑰,以防萬壹。④屏蔽不需要的服務組件。XP眾多的服務使用戶享受到了前所未有的服務,但是出於種種原因,用戶能真正在日常用到的組件還是為數不多,這就造成了很到的系統資源浪費和壹定的安全隱患,甚至黑客們還會據此嘗試壹些入侵,所以屏蔽壹些暫時還不需要的服務組件是安全設置中的壹個重要部分。