反弹式木马0906.docVIP

PAGE  PAGE - 6 - 选题二： 反弹式木马 什么是木马 木马，全称特洛伊木马（Ｔrojan horse）是一种基于“客户机／服务器”模式的远程控制程序。它让用户的机器运行服务器程序，这个服务器程序会在用户的计算机上打开监听端口，从而给黑客入侵打开一扇进出的门，然后黑客就可以利用木马客户端入侵用户的计算机系统。 常见的木马有：网购木马、456游戏木马、连环木马、QQ粘虫木马、代理木马等等。比如：“食人鱼”网购木马，可以在系统无保护的情况下，轻易篡改交易信息，使买家要购买的东西没有支付，却替木马作者购买了游戏或者手机充值卡，所以我们网购时须特别谨慎才行。 二、什么是反弹式木马 随着防火墙技术的提高和发展，基于IP包过滤规则来拦截木马程序可以很有效地防止外部连接，因此黑客在无法取得连接的情况下，又发明了所谓的“反弹式木马”－利用防火墙对内部发起的连接请求无条件信任的特点，假冒是系统的合法网络请求来取得对外的端口，再连接到木马的客户端，从而窃取用户计算机的资料同时遥控计算机本身。大名鼎鼎的“网络神偷”和“灰鸽子”就是这样一类木马。肉鸡肉鸡就是黑客通过电脑程序控制的那些远程电脑，而那些的用户自己却不知道被你所控制。 三、反弹式木马常见的反弹木马：网络神偷、灰鸽子等 工作原理 常见的普通木马，是驻留在用户计算机里的一段服务程序，而攻击者控制的则是相应的客户端程序。服务程序通过特定的端口，打开用户计算机的连接资源。一旦攻击者所掌握的客户程序发出请求，木马便和他连接起来，将用户的信息窃取出去。 可见，此类木马的最大弱点在于攻击者必须由外向内和用户主机建立连接，木马才能起作用。所以在对外部连接审查严格的防火墙下，这样的木马很难工作起来。 而反弹式木马在工作原理上与常见的木马不一样。区别以前的普通木马都是要自己主动去连接肉鸡，比如冰河，就要自己扫描被植入木马的机器。这样效率很低，而且非常容易被防火墙拦截。反弹木马就解决了这个问题，其主要是被动连接，就是肉机中了你的木马以后，他会主动??接你。这样就很好的躲避防火墙（防火墙对内向外的连接申请基本不过问）。反弹木马其实就是被动等待肉机来连接的一种木马。 由于反弹式木马使用的是系统信任的端口，系统会认为木马是普通应用程序，而不对其连接进行检查。防火墙在处理内部发出的连接时，也就信任了反弹木马。 图1.反弹式木马一般工作原理图 四、常见传播方式 1.系统漏洞。只要你的电脑接入了网络，黑客就可以通过网络扫描程序找到你的电脑，然后再通过系统漏洞直接进入到你的电脑，在你的电脑中偷偷安装上木马程序，让你不知不觉中招。 2.文件捆绑。就是将木马程序捆绑在正常的程序或文件中，当别人下载并运行后，被捆绑木马的程序也已经悄悄运行了，这起到了很好的迷惑作用，黑客通常会将木马程序捆绑在一个广为传播的热门软件上来诱使他人下载，并把它放到下载网站或网站论坛中使其在网络上传播。著名的国产木马“冰河”和“双十二猎手”木马和就是通过此类方式传播。 3.文件伪装。比如，修改木马程序的图标，文件名或后缀名，使它看起来与另外一个正常文件别无二样，而且为了让人容易接受，常常会伪装成热门文件来诱使对方打开，最常用的传播方式就是通过电子邮件和QQ等即时通讯软件来传播，很多朋友对电子邮件的附件和QQ好友发送的文件会毫不犹豫的点击接受，就这样因为一时粗心大意中了木马。QQ粘虫木马通常会伪装成各种QQ好友发送的文件来诱使你中招。 4.网页传播。黑客会将制作好的木马程序放到网页中，当人们在浏览这些网页时，木马程序会通过系统软件的漏洞自动安装，或是以浏览该网页必须的插件等名义诱骗用户点击安装等方式偷偷安装到别人的电脑中，让人防不胜防。“下载者”木马就是通过网站挂码来传播的一种木马。 四、防范措施 1.新安装的电脑系统应先安装防病毒软件和网络防火墙后再连接上网，并及时给系统打补丁，第一时间消除系统漏洞。 2.安装个人防火墙，开启“内墙”防护模式。当用户计算机内部的应用程序访问网络的时候，必须经过防火墙的内墙的审核。合法的通过，不合法的被防火墙个人版的“内墙”拦截。 　　个人防火墙，就是一个位于计算机和他所连接网络之间的软件。该计算机与网络所有通信均要经过此防火墙。 　　防火墙可分为软件防火墙、硬件防火墙及芯片级防火墙。 专门对付存在于用户计算机内部的各种不法程序对网络的应用。从而可以有效的防御像“反弹式木马”那样的骗取系统合法认证的非法程序。　　　　 目前常见的个人防火墙有天网个人防火墙、瑞星个人防火墙、360木马防火墙、江民黑客防火墙、费尔个人防火墙等等。 3.不要从非正规网站上下载和执行不可靠的程序和文件，养成每次下载文件后都先用防病毒软件查杀的习惯。 4.建立良好的安全习惯，不打开可疑的邮件，不轻易接收来自QQ和M