盡管資深的黑客不屑於使用木馬,但在對以往網絡安全事件的分析統計裏,我們發現,有相當部分的網絡入侵是通過木馬來進行的,包括去年微軟被黑壹案,據稱該黑客是通過壹種普通的蠕蟲木馬侵入微軟的系統的,並且竊取了微軟部分產品的源碼。
木馬的危害性在於它對電腦系統強大的控制和破壞能力,竊取密碼、控制系統操作、進行文件操作等等,壹個功能強大的木馬壹旦被植入妳的機器,攻擊者就可以象操作自己的機器壹樣控制妳的機器,甚至可以遠程監控妳的所有操作。
木馬是如何侵入的?
壹般的木馬都有客戶端和服務器端兩個執行程序,其中客戶端是用於攻擊者遠程控制植入木馬的機器,服務器端程序即是木馬程序。攻擊者要通過木馬攻擊妳的系統,他所做的第壹步是要把木馬的服務器端程序植入到妳的電腦裏面。
目前木馬入侵的主要途徑還是先通過壹定的方法把木馬執行文件弄到被攻擊者的電腦系統裏,如郵件、下載等,然後通過壹定的提示故意誤導被攻擊者打開執行文件,比如故意謊稱這是個木馬執行文件是妳朋友送給妳賀卡,可能妳打開這個文件後,確實有賀卡的畫面出現,但這時可能木馬已經悄悄在妳的後臺運行了。
壹般的木馬執行文件非常小,大到都是幾K到幾十K,如果把木馬捆綁到其它正常文件上,妳很難發現的,所以,有壹些網站提供的軟件下載往往是捆綁了木馬文件的,在妳執行這些下載的文件,也同時運行了木馬。
木馬也可以通過Script、ActiveX及Asp、Cgi交互腳本的方式植入,由於微軟的瀏覽器在執行Script腳本上存在壹些漏洞,攻擊者可以利用這些漏洞傳皤病毒和木馬,甚至直接對瀏覽者電腦進行文件操作等控制,前不久就出現壹個利用微軟Scripts腳本漏洞對瀏覽者硬盤進行格式化的Html頁面。如果攻擊者有辦法把木馬執行文件上載到攻擊主機的壹個可執行WWW目錄夾裏面,他可以通過編制Cgi程序在攻擊主機上執行木馬目錄.
木馬還可以利用系統的壹些漏洞進行植入,如微軟著名的IIS服務器溢出漏洞,通過壹個IISHACK攻擊程序即在把IIS服務器崩潰,並且同時在攻擊服務器執行遠程木馬執行文件。
木馬在被植入攻擊主機後,它壹般會通過壹定的方式把入侵主機的信息,如主機的IP地址、木馬植入的端口等發送給攻擊者,這樣攻擊者有這些信息才能夠與木馬裏應外合控制攻擊主機。
在早期的木馬裏面,大多都是通過發送電子郵件的方式把入侵主機信息告訴攻擊者,有壹些木馬文件幹脆把主機所有的密碼用郵件的形式通知給攻擊者,這樣攻擊都就不用直接連接攻擊主機即可獲得壹些重要數據,如攻擊OICQ密碼的GOP木馬即是如此。
使用電子郵件的方式對攻擊者來說並不是最好的壹種選擇,因為如果木馬被發現,可以能過這個電子郵件的地址找出攻擊者。現在還有壹些木馬采用的是通過發送UDP或者ICMP數據包的方式通知攻擊者。