加强防范自定义木马

来源： 作者： 出处：巧巧读书 2006-07-04 进入讨论组

关 键 词：ftp  ip地址  ssh  安全  病毒  

　　病毒、蠕虫和木马之间的界限越来越模糊，考虑到它们的潜在目的，对它们的理解也越来越容易。通常，病毒通过电子邮件传播，带有一定的有效载荷。蠕虫通过其它渠道，比如IM、SNMP、RSS（现在还没有，不过估计也快了）以及其它的微软协议。蠕虫通常也会带来一定的载荷。它们的目的都是尽可能快地传播。

　　特洛伊木马的原型是把希腊人藏起来带到特洛伊城，现在特洛伊木马通常指的是存放在用户计算机中的载荷。黑客通过木马远程访问用户的计算机，他们利用这个开着的后门安装任何他们想要安装的程序。有的黑客甚至可以利用木马打开用户计算机上的CD播放器，仅仅是为了能够发声，从中获得娱乐。

　　不过并不是所有的木马都是为了娱乐的游戏。僵尸网络就是静静等待命令，然后针对目标网站发起攻击。还有一些木马被用来安装广告软件，黑客从中获取利润。当然了，很容易安装这样的软件，来记录你通过键盘敲击的一切，甚至是你对笔记本的麦克风所讲的一切。木马有如此多的功能，可以用来产生利益，以至于现在好多病毒和蠕虫都会安装木马。

　　反病毒厂商聘用了大量的研究员、蜜罐和用户以最快的速度找到病毒。平均要花费六个小时来发现病毒、对之进行分类，并给用户提供新的定义。整个行业的致命弱点就是，这些研究技术不能做任何可以保护你免受自定义病毒或木马侵袭的事情。

　　自定义的恶意软件很容易创建。把一个现有的木马或病毒的源代码拿出来修改，使得现有的反病毒和反间谍软件无法识别。即便是你或者你们的IT部门发现了这个木马，报告它也没有任何意义，因为它并没有广泛传播。所以自定义木马的开发者就可以用他的木马再去攻击其他目标。

　　Michael Haephrati开发的臭名昭著的木马，被用来窃取以色列许多公司的机密信息。现在，中国也处于一场商业级的网络钓鱼长征中。
　　
　　首先，发送一个自定义的病毒来搜集电子邮件地址，该病毒只处于被攻击目标的域内。然后向含有自定义木马的机器发送电子邮件，发送地址看起来都是同一个单位内部的，这样用户就很可能会打开这封邮件。

　　对于这种类型的攻击，还没有有效的防范措施。你可以不打开任何附件，不过会以损失生产力为代价，你可能会错过一些宝贵的机会。现有的反病毒和反间谍软件产品都没有被设计成可以发现自定义木马。

　　那么我们应该怎么做呢？

　　?使用防火墙的代理服务器防止内部交互被发送给黑客。阻止FTP、Telnet和SSH。在英国，这样做可以起一些作用，可以对付Haephrati的木马，但好景不会很长，自定义木马的作者会把木马改成利用其它渠道，比如电子邮件、Skype、Web等。

　　?使用各种基于主机的入侵防护系统，有可能会识别出木马偷偷摸摸的行为并加以阻止。Sana安全公司、McAfee、eEye、Determina和赛门铁克都已经开发了这样的产品。这些产品不是万能的，但在捕捉自定义木马方面还有两下子。

　　?使用一个白名单，列出可以不阻止的好朋友。Websense有这样一个客户端，同时可以阻止通向外部已知的坏的IP地址的交互。

　　自定义木马是一种新型的网络威胁，以用户的信息、机构及财产为攻击目标。如果你认为零日攻击蠕虫很令人头疼，那么相比之下自定义木马毫不逊色。自定义木马不需要依赖已有的漏洞，用现有的桌面或网络保护措施无法识别出它们，并且操纵自定义木马的人的出发点就是给你带来危害。 更多内容请看ARP攻击防范与解决方案  安全频道  病毒/木马/恶意软件专题，或进入讨论组讨论。

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：MSN聊天搬到手机上增加病毒传染可能性

较新的文章：分析国内流行的IE6.0最新网页木马