特洛伊木马 (电脑)

特洛伊木马(Trojan Horse)简称木马,在电脑领域中指的是一种后门程式,是骇客用来盗取其他使用者的个人讯息,甚至是远端控制对方的电子装置而加密制作,然后通过传播或者骗取目标执行该程式,以达到盗取密码等各种资料资料等目的。和病毒相似,木马程式有很强的隐秘性,会随着作业系统启动而启动。

名字由来

主条目:特洛伊木马

「木马」这一名称来源于希腊神话特洛伊战争特洛伊木马。攻城的希腊联军佯装撤退后留下一只木马,特洛伊人将其当作战利品带回城内。当特洛伊人为胜利而庆祝时,从木马中出来了一队希腊兵,它们悄悄打开城门,放进了城外的军队,最终攻克了特洛伊城。电脑中所说的木马与病毒一样也是一种有害的程式,其特征与特洛伊木马一样具有伪装性,表面上没有危害、甚至还附有使用者需要的功能,却会在使用者不经意间,对使用者的电脑系统产生破坏或窃取资料,特别是使用者的各种帐户及口令等重要且需要保密的资讯,甚至控制使用者的电脑系统。

原理

一个完整的特洛伊木马套装程式包含两部分:伺服器端(伺服器部分)和使用者端(控制器部分)。植入对方电脑的是伺服器端,而骇客正是利用使用者端进入运行了伺服器端的电脑。运行了木马程式的伺服器端以后,会产生一个有着容易迷惑使用者的名称的进程,暗中打开,向指定地点发送资料(如网路游戏密码即时通讯软体密码和使用者上网密码等),骇客甚至可以利用这些打开的埠进入电脑系统。

特洛伊木马程式不能自动操作, 一个特洛伊木马程式是包含或者安装一个存心不良的程式,它可能看起来是有用或者有趣的计划(或者至少无害)对一不怀疑的使用者来说,但是实际上有害当它被执行。 特洛伊木马不会自动执行,它是暗含在某些使用者感兴趣的文件中,使用者下载时附带的。当使用者执行文件程式时,特洛伊木马才会运行,资讯或文件才会被破坏和遗失。 特洛伊木马和后门不一样,后门指隐藏在程式中的秘密功能,通常是程式设计者为了能在日后随意进入系统而设定的。

特洛伊木马分为两种,「Universal」和「Transitive」,「Universal」是可以控制,「Transitive」是无法控制,刻死的操作。

特征

特洛伊木马不经电脑使用者准许就可获得电脑的使用权。程式容量十分轻小,执行时不会浪费太多资源,因此没有使用防毒软体是难以发觉的;执行时很难阻止它的行动,执行后,立刻自动登录在系统启动区,之后每次在Windows载入时自动执行;或立刻自动变更档名,甚至隐形;或马上自动复制到其他资料夹中,执行连使用者本身都无法执行的动作;或浏览器自动连入奇怪或特定的网页。

发展

木马程式技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程式的编写。至今木马程式已经经历六代的改进:

  • 第一代,是最原始的木马程式。主要是简单的密码窃取,通过电子邮件传送资讯等,具备木马最基本的功能。
  • 第二代,在技术上有了很大的进步。
  • 第三代,主要改进在资料传递技术方面,出现ICMP等类型的木马,利用畸形报文传递资料,增加防毒软体查杀辨识的难度。
  • 第四代,在行程隐藏方面有了很大改动,采用核心插入式的嵌入方式,利用远端插入执行绪技术,嵌入DLL执行绪。或者挂接PSAPI,实现木马程式的隐藏,甚至在Windows NT/2000下。
  • 第五代,驱动级木马。驱动级木马多数都使用大量的Rootkit技术来达到在深度隐藏的效果,并深入到核心空间的,感染后针对防毒软体和网路防火墙进行攻击,可将系统SSDT初始化,导致防毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。
  • 第六代,随着身分认证UsbKey和防毒软体主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改使用者敏感资讯为主,后者以动态口令和硬凭证攻击为主。

中毒症状

木马的植入通常是利用作业系统的漏洞,绕过对方的防御措施(如防火墙)。中了特洛伊木马程式的电脑,因为资源被大量占用,速度会减慢,莫名当机,且使用者资讯可能会被窃取,导致资料外泄等情况发生。

解决办法

特洛伊木马大部分可以被防毒软体辨识清除。但很多时候,需要使用者去手动清除某些档案,登录档项等。 不具有破坏防火墙功能的木马可以被防火墙拦截。

著名木马

  • 著名木马
    • Back Orifice(BO)
    • NetBus Pro
    • SUB7
    • pinnAR
    • MEMZ
  • 中国大陆著名木马

参见