解析危险的特洛伊木马

如对您有帮助，欢迎下载支持，谢谢！

1 

一位客户的

PC

出现了奇怪的症状，速度变慢，

CD-ROM

托盘毫无规律地进进出出，

从来没有见过的错误信息，屏幕图像翻转，等等。我切断了他的

Internet

连接，然后按照

对付恶意软件的标准步骤执行检查，终于找出了罪魁祸首：两个远程访问特洛伊木马——

一个是

Cult 

of 

the 

Dead 

Cow

臭名昭著的

Back 

Orifice

，还有一个是不太常见的

The 

Thing

。在这次事件中，攻击者似乎是个小孩，他只想搞些恶作剧，让别人上不了网，或者

交换一些色情资料，

但没有什么更危险的举动。

如果攻击者有其他更危险的目标，

那么他可

能已经从客户的机器及其网络上窃得许多机密资料了。

特洛伊木马比任何其他恶意代码都要危险，

要保障安全，

最好的办法就是熟悉特洛伊木

马的类型、工作原理，掌握如何检测和预防这些不怀好意的代码。

一、初识特洛伊木马

特洛伊木马是一种恶意程序，

它们悄悄地在宿主机器上运行，

就在用户毫无察觉的情况

下，

让攻击者获得了远程访问和控制系统的权限。

一般而言，

大多数特洛伊木马都模仿一些

正规的远程控制软件的功能，如

Symantec

的

pcAnywhere

，但特洛伊木马也有一些明显

的特点，

例如它的安装和操作都是在隐蔽之中完成。

攻击者经常把特洛伊木马隐藏在一些游

戏或小软件之中，

诱使粗心的用户在自己的机器上运行。

最常见的情况是，

上当的用户要么

从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附

件。

大多数特洛伊木马包括客户端和服务器端两个部分。

攻击者利用一种称为绑定程序的工

具将服务器部分绑定到某个合法软件上，

诱使用户运行合法软件。

只要用户一运行软件，

特

洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。

通常，

特洛伊木马的服

务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的

IP

端口号，程

序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的