再论木马危害的新发展及对策(贾建忠)

论木马危害的新发展及对策

贾建忠

（乌鲁木齐职业大学 新疆乌鲁木齐 830001）

摘 要：随互联网业务的不断丰富，木马产业近年来呈现集团化发展趋势，严重威胁网络用户

安全。本文先探讨了近两年来木马发展的新动向及技术发展趋势，后从维护网站安全、斩断产

业链、第三方支付平台的管理、用户日常安全防护的角度阐述如何应对新木马的危害。

关键词：木马；攻击；发展趋势；产业链

中图分类号：TP393 文献标识码：A

New development of Trojan and how we respond to

(Urumqi vocational university,Urumqi Xinjiang,830001) Jia jianzhong

【Abstract】With the develop of Internet business,the Trojan industry has recently appeared the trend of Group.It is a serious threat to the security of Internet users. This article first discusses the trend of the past two years, Trojan development of new trends and technology development,then discussed how to cut off the industrial chain, routine safety protection of computer user, Website security and the management of payment platform on the internet.

【Key words】Trojan; Attack; Development trends; Industrial chain

0 引言

木马程序是一种以窃取网络用户信息为目的的恶意程序。自产生之日起，木马程序就对网络安全造成严重危害。木马通常不会直接攻击计算机软硬件系统,但其危害性更胜过一般意义上的病毒。木马技术以无所不用其极的手段、灵活的应变、花样百出的伪装在个人电脑病毒防御技术迅速发展的今天，依然保持着强盛的生命力。金山公司在2012年2月发布的中国互联网安全研究报告中列举的2011年度影响最大的十大病毒中木马程序有4个，另有4个病毒与木马构成混合侵害。国家国家计算机病毒应急处理中心2011年10月、11月发布的计算机病毒疫情分析中列举的5项病毒动态中，各有3项为木马及其变种，可见木马程序危害性之大。目前，在国内木马产业每年的非法收益在百亿元人民币以上。 1木马入侵的新动向

1.1 恶意推广及垃圾广告

这种木马主要通过恶意网站诱导用户点击后自行安装、网页挂马、与正常软件捆绑等形式传播。其表现形式有自动弹出广告窗口;伪造图标进入推销网站或恶意站点；篡改主页为某流氓网站；伪装为其他软件，点击后自动释放大量流氓软件等。这种木马主要达成为侵害实施者争取推广费、提高点击率等目的，相对来讲危害性不强但使人厌烦。从杀除的角度讲比较容易，但因为其经常变换形式，随意性强，木马宿主种类繁多，故各大杀毒软件很少出专杀工具，使人防不胜防。

1.2 信息盗取的针对性增强

自木马产生以来，信息窃取即为其主要目的，近两年的一个发展趋势是，木马设计和传播者对恶作剧式的、炫耀式的大面积撒网式攻击不再有兴趣，而是对于能够产生某种非法所得目标明确的攻击加强力度，呈现一种成熟化、精细化发展的趋势。从窃取信息的种类来看主要有（1）盗取网银账户的木马，如：（2）盗取网游账号或其它游戏账号的密码，如。甚

至于出现不少针对某个游戏设计的木马，如：攻击魔兽世界网游的魔兽木马（Trojan/PSW.Moshou）及其变种。（3）专门盗取股票账户的密码。从手段上分有2种：一是在投资、证券网站上挂马引诱用户下载，中招后定时检索有无交易流量，通过截屏、偷盗用户股票交易密码，如：能够将交易窗口进行截屏发送给控制端的win32.troj.soufan木马；二是木马本身设计具有倾向性，如：使用rootkit技术隐藏于系统进程空间的Tigger/Syzor木马，这种木马可对证券、期货交易人员的计算机进行有选择的攻击，具有欺骗性的是这种木马还可以帮助受侵害的计算机杀除可能存在的几十种其他恶意病毒，以达到更好的减轻侵害症状、隐藏自己的目的。（4）针对淘宝等电子商务网站用户实施的盗取。此类木马以窃取淘宝买家的支付宝、网银账号或账上资金为目标，采用制作假冒淘宝网页，在假淘宝与真淘宝之间设立链接来迷惑用户将支付账号提交到控制端，或在淘宝网上注册商铺，以页面中的有毒链接诱骗用户点击植入木马后用假冒的支付页面将支付款直接转入黑客账户,或在正常的付款、退款过程中截取密码信息及资金。(5)针对智能手机通讯录及账号的盗取。智能手机因为其服务类型多样、资费方式灵活的特点成为木马入侵的一个新重点，手机上的个人信息相对于个人电脑来讲更为集中和私密。木马主要盗取手机的通讯录、手机银行支付账号密码，更具危害

【1】性的是间谍木马，一旦下载运行，其可以打开手机的听筒从远端监听用户通话。（6）针对

特定部门、组织的邮件木马。此类木马针对政府机构、特定行业或某个公司的用户邮箱进行网页或附件下载形式的木马植入。邮件网页中含有恶意转向代码，辅以可能感兴趣的内容诱骗用户点击后转向指定网站自动运行植入。遭侵害的计算机硬盘遭恶意扫描，重要商业信息或机密文件被传至黑客客户端。（7）针对CAD图纸设计的木马。这是一款间谍木马，通过邮件伪装下载传播，如果用户的计算机安装了AUTOCAD软件，则在木马运行状态下打开的图纸将被定向发送。（8）针对银行、企业、商业组织的“刷库”木马。此类木马专攻以上机构的数据库信息，一旦成功则意味着大量的用户信息甚至账户信息的集体泄露，危害深远。2011年上半年国际货币基金组织、索尼、宏基的数据库遭受此类攻击，造成严重泄密，尤其是

【2】索尼公司泄密用户信息达到一亿人次。

1.3 注重系统攻击深度及破坏性

反木马技术的大力发展使得木马植入的难度越来越大，一些木马黑客高手开始着眼于对计算机系统底层技术的应用以加深攻击深度和查杀难度。有代表性的有BIOS木马、MBR木马等，一旦中招，轻则丢失数据、重装系统，重则重刷BIOS芯片才可恢复。

MBR木马可修改受侵害计算机操作系统所在的磁盘主引导记录（MBR），使得木马代码在操作系统内核中运行并且在计算机启动时，先于杀毒软件运行，故可绕过防护系统并实施盗号等侵犯手段。若想修复，通常得重新格式化操作系统分区并用fdisk /MBR命令重写硬盘主引导区。2011年流行的鬼影3木马就是这类木马的代表。

BIOS木马则更加阴险，因为基本输入输出系统(Basic Input/Output System,BIOS)运行

[3]于特权模式，甚至早于操作系统获取计算机控制权。故能将恶意代码嵌入BIOS闪存的木马

可获得系统底层控制权并轻易获取操作系统管理权，后实施常见攻击。常见的杀毒软件难以应付，格式化或更换硬盘、重装系统也不能清除，只有重新修改BIOS闪存。2011年位列十大木马程序之首的BMW(Bios Rootkit)木马可同时修改BIOS及MBR,破坏力惊人。

1.4 欺骗性及隐匿性

木马程序的欺骗性和隐匿性是其生存的必备手段。从发展趋势来看，近年来随着网络服务的不断丰富，各类木马及其变种用尽手段诱骗用户安装并难以察觉。有代表性的方法有：

（1）攻击某些防护措施弱的软件下载网站，甚至自建恶意网站，将木马代码隐匿于软件安装文件中，正常软件和木马同步安装完成。（2）直接替换正常程序文件，在执行被入侵程序

的同时激活木马。（3）修改注册表，伪装成病毒库升级包、系统补丁等常用组件，供用户下载，有些还有可验证的数字签名。（4）修改合法程序加载恶意代码或替换部分软件、网页的界面，真里有假，迷惑用户点击操作。（5）将自身命名为系统进程、系统服务、驱动程序名称或直接修改系统进程融入恶意代码，并结合对注册表的修改隐匿自身。（6）为防止追查来源，木马安装完成后即销毁原木马文件。近年来木马的欺诈、隐匿手段花样翻新，一旦被检测出，即不断推出变种，增加生存几率。

1.5 混合型攻击

木马技术的发展向着混合型、多种手段并用的方向迈进。具体体现为木马和其他类型的病毒的结合。如：通过病毒感染木马，通过木马下载病毒或其他木马，用多种渠道入侵的木马，可以同时窃取多种信息、账号的木马。具有蠕虫特性的木马等。混合型木马具有危害性大、难以彻底清除等特点。

1.6 智能手机成为新目标

目前我国智能手机用户占到所有手机用户的30%以上。智能手机业务种类繁多，且多数与资费有关，如果用户确认预定某项服务，资费可直接由运营商从账户上在线结算。手机信息存储想对于普通的PC机更具私密性，如：通讯率，短信，彩信、SIM序列号等。手机银行、证券业务由其方便、不受环境地点限制的优势越来越受到用户的青睐。智能手机的以上特点受到了木马制作者的极大重视。据360安全中心发布的《2011年中国手机安全状况报告》中指出：2011年新发现木马及其它恶意手机程序8700多个，造成超过2700万人次智能手机被感染。另据网秦手机安全中心统计2010年新增手机恶意程序数量超过前5年总和，而直接或间接和木马有关的恶意程序超过了50%。智能手机木马主要侵害方式有：（1）盗取用户手机内存储的各类信息及用户输入的账号密码。（2）和不良SP服务商勾结订制高资费业务。（3）主动下载大量信息，消耗网络流量。（4）破坏智能手机操作系统、造成运行故障。（5）远程控制手机，打开听筒，实时窃听用户的通话记录。

随着智能手机操作系统、cpu、存储容量的不断升级以及移动互联网络服务项目增加、速度提升，木马入侵的危害性和风险急剧上升。

2如何应对新木马的危害

2.1 网站安全及监督

木马传播的途径主要有：网页挂马，程序或数据下载，即时通讯传播，邮件附件传播，移动存储设备传播等。其中软件下载、网购入侵、QQ、MSN等即时通讯程序传送为2011年木

【2】马传播的主要途径，占有70%左右的份额。通过互联网传播的木马中相当大比重的木马直

接来自于网站或者与用户浏览网页有间接关系。而我国仅在2010年就有35000家左右的网站遭遇恶意入侵。由此可见网站的安全对避免木马侵害有着重大意义。保障网站安全有两个层面的工作：一是合法网站尤其是涉及到支付业务、数据下载、信息统计等网站的安全防护，目前很多重要部门的网站安全形势依然非常严峻，技术手段、人员素质及责任意识均亟待提高。二是加强对网站的监管和立法。网站监管一直以来都是一个相对薄弱的环节。面对逐年攀升的网站数量，如何从服务提供者、执法部门技术力量及设备投入、查处途径、国际合作等环节加强网站管理和信息过滤是值得深思的。目前，大量恶意网站将其服务器架设在境外逃避打击，增加了查处的难度。另外，按照互联网业务的发展趋势和服务走向，立法部门制订并细化相关法律法规使之具有可操作性和针对性是十分必要的。

2.2 安全防护的警惕性和及时性

在杀毒技术发展较成熟的今天，木马入侵的难度实际上是比较大的，再厉害的木马程序少则一日多则数日都会被发现并遏制。此情况促使木马制作者以不断推出各类变种来升级木马程序，和杀毒软件展开拉锯战。我们应注意到安全防护系统对木马变种是有一个反应时间的，在新的升级到来以前变种侵害威胁最大。故无论是普通用户还是网络管理员、论坛版主、网站维护人员对自己网络设备、普通PC、智能终端的安全防护意识不可有一刻的放松，安全防护手段不可有一时的疏漏。木马入侵需要用户或多或少的“配合“，对付它最好的办法是避免危险操作，防患于未然。以一名普通用户来说应注意到以下几点：（1）及时安装杀毒软件、防火墙并升级病毒库。（2）有选择的上网，不上黄站、来源不明的网站。对于经常使用在线支付、网上购物、网银、炒股软件的人尤其应该注意到这一点（3）坚信天上不会掉馅饼，不要轻易相信所谓中奖信息、友善提示，不要配合操作。（4）不要点击那些自己弹出来的不明窗口，如果这样的情况近几天很频繁或者伴有主页被绑定的情节，终止浏览器进程并使用专门的软件进行清理。（5）在口碑好、来源明确的网站下载软件。不要马上运行安装程序，先用杀毒软件查毒。（6）安装软件的过程中发现有捆绑安装其它软件或组件的情况，不要勾选那些捆绑软件或退出安装。（7）不要轻易打开来源不明的邮件及附件，尤其是有链接的网页形式的邮件。（8）QQ上陌生人发来的有链接的消息不要点击，文件不要接收。（9）移动存储设备插入后先查毒再打开。（10）记住那些常用网站的URL，要知道现在有不少假冒网站可以给你展现一个几乎一模一样的页面，尤其是对于购物网站，先查看一下域名是不是正确的。

2.3 斩断木马产业链

目前，我国已形成了一条集制作、批发、代理、零售一条龙服务的木马产业链。自2009年以来，每年木马产业给不法分子带来的非法所得及给用户造成的直接损失高达100亿元人民币，从业人员预计在10万人左右。据《2010-2011中国互联网安全研究报告》的分析，目前的木马侵害呈集团式发展趋势，80%左右的木马传播、销售、获利渠道被有组织的犯罪集团控制。这些木马经营组织甚至已经形成了垄断代理商、区域总代理、地区代理等成熟的分销渠道。要达到对木马产业发展当头一棒的效果，只依靠对个别重大侵害事件的立案处理、严厉打击是不够的，应从仔细分析其产业形成的外部环境、内部利益关系、所涉及的人员类型和组织形式、联系渠道的角度入手，对其中某些重要环节所涉及的部门、人员进行有效管理和监督，有效“打断”产业链条，降低发展层次。目前，可以在以下几个方面着手：（1）加强对网站从业人员的监督、教育，逐步建立网站安全评级体系。（2）建立软件从业人员的信誉档案、规范其行为。（3）加强对网络基础设施运营部门的管理，促使其不给或少给木马获利者利用网络平台发起大范围攻击的机会。（4）加强网络安全监管队伍的组织建设和技术力量。（5）严厉打击利用QQ群、博客等平台建立的木马交易中心。（6）加强立法及地方法规建设，使之对网络平台犯罪具有更好的针对性和可操作性。

图一 木马产业链示意图

2.4 加强网上交易的第三方支付机构管理及功能建设

目前，网上购物已近被广大互联网用户所接受。网购木马趁势而动，采用盗取用户支付账号、密码或者截取支付款项到另外一个第三方支付平台下的盗取账号等手段给网民造成极

【3】大损失。。目前国内约有300 多家第三方支付机构，大都有互联网支付、手机支付业务。

这些支付平台站在买房和卖方中间人的角度，为保障电子商务的繁荣发展做出了很大贡献。但是也有很多支付机构忽略了计算机黑客这个第三者的问题，对于电子支付的安全保护、对于支付软件本身安全漏洞、对于支付过程的记录和追踪查询、对于机构内从业人员的安全意识教育和责任教育等方面存在或多或少的问题。经常是某个或某些重大窃密、盗取损失发生之后，用户、电子商务网站、第三方支付方互相推卸责任。尤其是木马对电子支付的盗取活动和过程记录缺失问题对司法介入后的取证和责任追究带来困难。因此，随着网上交易活动的日益平凡，对第三方支付认证机构的管理应大力加强，促使其在技术手段、责任意识、漏洞查补、交易过程记录等方面发力，提高用户交易的安全系数。

参考文献

[1] 朱圣军, 刘功申, 罗俊, 陶春和. 智能手机病毒与信息安全[J]. 信息安全与通讯保密,

2011, (05):96-98.

[2] 360安全中心. 2011上半年中国互联网安全状况的统计总结. http://www .

hackbase.com/tech/2010-09-14/61203.html.

[3] 张宏伟 朱信铭 朱璇. 关于第三方支付平台的安全性[J]. 信息安全与技术, 2011,

(05):67-69.