谈病毒之特洛伊木马
摘 要:互联网的发展给人类的生活带来便利,而与此同时也存在病毒的着潜在的威胁。本文从计算机病毒之特洛伊木马谈起,从其起源、定义、发展历史、和蠕虫的区别、分类等方面对特洛伊木马作初步探讨,以此来引出计算机病毒防护的重要性。
关键词:网络病毒;特洛伊木马;概述
特洛伊木马是一种典型的网络病毒,它以隐蔽的方式进入到目标机器,对目标机器中的私密信息进行收集和破坏,再通过互联网,把收集到的私密信息反馈给攻击者,从而实现其目的的一种新型病毒。
一、起源和定义
特洛伊木马的名字起源于希腊神话。相传公元前12世纪,古希腊大军围攻特洛伊城,但久攻不下,时人献计制造了高二丈的木马并将士兵藏于其中,后大部队佯装撤退而丢弃了木马,特洛伊城内之人拾得木马并拉回城中,无奈已中计,城自被攻破。于是后人就将这中木马称之为特洛伊木马,由于黑客程序在对计算机进行攻击时也具有一定的隐匿性,于是就借用了“特洛伊
木马”一名。
目前对特洛伊木马还没有形成一致性的定义,但大多数专家都认为,特洛伊木马是一段能实现攻击者目的功能程序,同时也具有一定的潜在威胁。
二、发展历史
特洛伊木马的发展随着计算机技术的发展而不断革新,到现在为止已经发展到了第四代木马。
1.伪装性木马
它以一个合法性的程序作为“外衣”,从而让目标机器用户上当。第一木马应该算是pc-write,该木马以quicksoft公司的pc-write的2.72版本为伪装,一旦用户认为该程序是真的并运行的话,硬盘将面临格式化的悲剧。如有的木马以用户某程序为伪装,提示用户输入相关的私人信息,同时又提示输入信息错误,但用户第二次输入时,信息已被套取。此时的木马还不具备传染性。
2、aids型木马
pc-write出现于1986年,而aids则于1989年现身,此类木马以寄生邮件而进行传播,用户“中毒”后,硬盘被锁死,于是不得不花钱进行杀毒,攻击者因此而获利。1999年的“冰河”也算典型。冰河不但能对目标用户通过对目标屏幕的监控来掌握目标机器键盘、鼠标信息的录入、控制对方文件、注册表操作、还能获取对方信息、限制系统相关功能、向目标机器发出信息等,此时的木马已具备了一定的传播性,但还没有传染性。
3.网络型传播木马
这样叫是因为该木马是建立在internet普及基础上同时具有伪装和传播功能的木马,它不但能以“后门”功能来躲过计算机安全系统来对目标机器进行攻击,还增加了键盘输入记录功能,破坏性更大,bo2000算是代表。
如今的木马已经发展到了注入式dll木马和使用一般工具制作的木马,在隐匿性和传染性方面都增加的相应的功能,破坏性也随之增强。
三、与蠕虫的不同
计算机病毒是一种程序代码或指令,它能通过计算机软件或硬件的漏洞来对目标计算机数据
进行窃取或破坏,具有传染性、隐匿性和衍生性、破坏性等特点,病毒的传染性是判别是否为病毒的重要标识。病毒的传播需要将自己的代码放置到别个程序的执行路径中才能进行,也需要进行自我复制。而蠕虫是不使用驻留文件也能在系统间进行复制的程序。木马则是一种远程黑客控制工具,是攻击者对目标机器进行的一种隐蔽而非授权的程序植入,不具备传染性。但随着计算机技术的发展,他们之间的区别也日益缩小,界限开始模糊。
计算机病毒的定义四、分类
特洛伊木马在用途上各不相同,因此所属的类别也不尽相同,具体说了有:
1.密码发送型
该木马通过对目标机器的植入,能对目标主体所保存的密码进行搜索,然后发送给攻击者。该木马对密码的搜索一是通过对目标机器主体以文件形式保存的密码进行,二是对windows提供的密码记忆功能进行。由于密码发送型的木马在制作上较为简单,成为了木马中较为流行的一种。因此,当使用计算机时,对个人相关信息切勿以文件形式进行保存或依赖windows提供的密码记忆功能而进行记忆,这无疑给木马工具留下漏洞。
2.键盘记录型
它通过对目标机器主体使用键盘进行记录,然后在log中对密码进行搜索。这个木马通常情况下是随着系统的运行而启动的,且对用户键盘使用记录分为在线和离线两种方式。换句话说,键盘记录型的木马能轻松的对机器使用者所使用过的键盘信息进行记录,从而获得用户相关信息。
3.dos攻击型
这种木马最突出的特征就是它的传染性,它的攻击性不是表现在对一台目标机器的攻击上,而是攻击者能利用dos攻击来形成传染攻击,从而对网络构成威胁。