詳述木馬的類型與偽裝及應急辦法(2)

作者:佚名 來源:賽迪網 時間:2006-12-24 標簽: 木馬

 5.DoS攻擊木馬

  隨著DoS攻擊越來越廣泛的應用,被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一臺機器,給他種上DoS攻擊木馬,那么日后這臺計算機就成為你DoS攻擊的最得力助手了。你控制的肉雞數量越多,你發動DoS攻擊取得成功的機率就越大。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在攻擊者可以利用它來攻擊一臺又一臺計算機,給網絡造成很大的傷害和帶來損失。

  還有一種類似DoS的木馬叫做郵件炸彈木馬,一旦機器被感染,木馬就會隨機生成各種各樣主題的信件,對特定的郵箱不停地發送郵件,一直到對方癱瘓、不能接受郵件為止。

  6.代理木馬

  黑客在入侵的同時掩蓋自己的足跡,謹防別人發現自己的身份是非常重要的,因此,給被控制的肉雞種上代理木馬,讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬,攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC等程序,從而隱蔽自己的蹤跡。

  7.FTP木馬

  這種木馬可能是最簡單和古老的木馬了,它的惟一功能就是打開21端口,等待用戶連接。現在新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進人對方計算機。

  8.程序殺手木馬

  上面的木馬功能雖然形形色色,不過到了對方機器上要發揮自己的作用,還要過防木馬軟件這一關才行。常見的防木馬軟件有ZoneAlarm,Norton Anti-Virus等。程序殺手木馬的功能就是關閉對方機器上運行的這類程序,讓其他的木馬更好地發揮作用。

  9.反彈端口型木馬

  木馬是木馬開發者在分析了防火墻的特性后發現:防火墻對于連入的鏈接往往會進行非常嚴格的過濾,但是對于連出的鏈接卻疏于防范。于是,與一般的木馬相反,反彈端口型木馬的服務端 (被控制端)使用主動端口,客戶端 (控制端)使用被動端口。木馬定時監測控制端的存在,發現控制端上線立即彈出端口主動連結控制端打開的主動端口;為了隱蔽起見,控制端的被動端口一般開在80,即使用戶使用掃描軟件檢查自己的端口,發現類似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情況,稍微疏忽一點,你就會以為是自己在瀏覽網頁。

  中木馬后出現的狀況

  對于一些常見的木馬,如SUB7、BO2000、冰河等等,它們都是采用打開TCP端口監聽和寫人注冊表啟動等方式,使用木馬克星之類的軟件可以檢測到這些木馬,這些檢測木馬的軟件大多都是利用檢測TCP連結、注冊表等信息來判斷是否有木馬人侵,因此我們也可以通過手工來偵測木馬。

  也許你會對硬盤空間莫名其妙減少500M感到習以為常,這的確算不了什么,天知道Windows的臨時文件和那些烏七八糟的游戲吞噬了自己多少硬盤空間。可是,還是有一些現象會讓你感到警覺,一旦你覺得你自己的電腦感染了木馬,你應該馬上用殺毒軟件檢查一下自己的計算機,然后不管結果如何,就算是Norton告訴你,你的機器沒有木馬,你也應該再親自作一次更深人的調查,確保自己機器安全。經常關注新的和出名的木馬的特性報告,這將對你診斷自己的計算機問題很有幫助。

  (1)當你瀏覽一個網站,彈出來一些廣告窗口是很正常的事情,可是如果你根本沒有打開瀏覽器,而覽瀏器突然自己打開,并且進入某個網站,那么,你要小心。

  (2)你正在操作電腦,突然一個警告框或者是詢問框彈出來,問一些你從來沒有在電腦上接觸過的間題。

  (3)你的Windows系統配置老是自動莫名其妙地被更改。比如屏保顯示的文字,時間和日期,聲音大小,鼠標靈敏度,還有CD-ROM的自動運行配置。

  (4)硬盤老沒緣由地讀盤,軟驅燈經常自己亮起,網絡連接及鼠標屏幕出現異常現象。

  這時,最簡單的方法就是使用netstat-a命令查看。你可以通過這個命令發現所有網絡連接,如果這時有攻擊者通過木馬連接,你可以通過這些信息發現異常。通過端口掃描的方法也可以發現一些弱智的木馬,特別是一些早期的木馬,它們捆綁的端口不能更改,通過掃描這些固定的端口也可以發現木馬是否被植入。

  當然,沒有上面的種種現象并不代表你就絕對安全。有些人攻擊你的機器不過是想尋找一個跳板。做更重要的事情;可是有些人攻擊你的計算機純粹是為了好玩。對于純粹處于好玩目的的攻擊者,你可以很容易地發現攻擊的痕跡;對于那些隱藏得很深,并且想把你的機器變成一臺他可以長期使用的肉雞的黑客們,你的檢查工作將變得異常艱苦并且需要你對入侵和木馬有超人的敏感度,而這些能力,都是在平常的電腦使用過程日積月累而成的。

  我們還可以通過軟件來檢查系統進程來發現木馬。如利用進程管理軟件來查看進程,如果發現可疑進程就殺死它。那么,如何知道哪個進程是可疑的呢?教你一個笨方法,有以下進程絕對是正常的:EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE(如果打開了IE),而出現了其他的、你沒有運行的程序的進程就很可疑了。一句話,具體情況具體分析。

  被感染后的緊急措施

  如果不幸你的計算機已經被木馬光臨過了,你的系統文件被黑客改得一塌糊涂,硬盤上稀里糊涂得多出來一大堆亂七八糟的文件,很多重要的數據也可能被黑客竊取。這里給你提供3條建議,希望可以幫助你:

  (1)所有的賬號和密碼都要馬上更改,例如撥號連接,ICQ,mIRC,FTP,你的個人站點,免費郵箱等等,凡是需要密碼的地方,你都要把密碼盡快改過來。

  (2)刪掉所有你硬盤上原來沒有的東西。

  (3)檢查一次硬盤上是否有病毒存在。

推薦設計

最新文章