論“肉雞”木馬的機(jī)理與防范

郭福洲

[摘要]針對(duì)因遭受木馬病毒而受制于人的計(jì)算機(jī)——“肉雞”這一信息社會(huì)現(xiàn)象由表及里,從木馬病毒的本質(zhì)、機(jī)理、客觀存在的原因進(jìn)行探究,并對(duì)木馬病毒的防范策略與方法進(jìn)行剖析與探索。

[關(guān)鍵詞]肉雞木馬網(wǎng)絡(luò)黑客計(jì)算機(jī)信息

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1220047-02

近來以央視為首的新聞媒體和許多知名網(wǎng)站曝光了黑客利用木馬進(jìn)行“肉雞”攻擊的全過程,觸目驚心的他人隱私信息的顯示以及黑客駭人聽聞的供詞,使得對(duì)網(wǎng)絡(luò)已產(chǎn)生極強(qiáng)依賴性的不免心生恐懼與不安。“肉雞”又叫肉機(jī),即懷有不法動(dòng)機(jī)的電腦黑客,利用網(wǎng)絡(luò)系統(tǒng)信息傳輸為途徑,借用戶在網(wǎng)絡(luò)軟件應(yīng)用時(shí)在用戶機(jī)器上植入木馬,達(dá)到遠(yuǎn)程操控用戶計(jì)算機(jī),獲取網(wǎng)絡(luò)用戶有價(jià)值的賬戶、密碼和文件與數(shù)據(jù)等個(gè)人有價(jià)值信息。本文將就“肉雞”木馬的本質(zhì)、生存背景和防范辦法進(jìn)行分析與論述。

一、“肉雞”木馬的本質(zhì)

“肉雞”軟件從本質(zhì)上應(yīng)界定為是木馬程序,什么是“木馬”?“木馬”全稱是“特洛伊木馬(Trojan Horse)”,原指古希臘士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。在Internet上,“特洛伊木馬”指一些程序設(shè)計(jì)人員在其可從網(wǎng)絡(luò)上下載(Download)的應(yīng)用程序或游戲中,包含了可以控制用戶的計(jì)算機(jī)系統(tǒng)的程序,可能造成用戶的系統(tǒng)被破壞甚至癱瘓。其本質(zhì)用于網(wǎng)絡(luò)監(jiān)控,但網(wǎng)絡(luò)黑客出于以不法手段獲取他人利益,造成與其本質(zhì)用途相形見遠(yuǎn)。

“肉雞”木馬入侵網(wǎng)絡(luò)節(jié)點(diǎn),必須獲取3個(gè)參數(shù):網(wǎng)絡(luò)節(jié)點(diǎn)的IP(即受侵用戶計(jì)算機(jī)的互聯(lián)網(wǎng)端口地址)、用戶名、密碼。木馬程序大多利用webshell作為web入侵的腳本攻擊工具。webshell是采用asp或php技術(shù)所設(shè)計(jì)的網(wǎng)站或網(wǎng)頁的后門,黑客在入侵了一個(gè)網(wǎng)站后,常常在將這些asp或php木馬后門文件放置在網(wǎng)站服務(wù)器的web目錄中,與正常的網(wǎng)頁文件混在一起。然后黑客就可以用web的方式,通過asp或php木馬后門控制網(wǎng)站服務(wù)器,包括上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。

Webshell管理的后門,即本地計(jì)算機(jī)與外界通訊的端口,一臺(tái)計(jì)算機(jī)有65535個(gè)端口,如果視計(jì)算機(jī)為一幢建筑,那么65535個(gè)端口即可看做是計(jì)算機(jī)與外界連接所開設(shè)65535出入口。每個(gè)出入口均可開設(shè)與一種服務(wù)。如25端口:為SMTP(Simple Mail Transfer Protocol,簡(jiǎn)單郵件傳輸協(xié)議)服務(wù)器所開放,主要用于發(fā)送郵件;80端口:為HTTP(Hyper

Text Transport Protocol,超文本傳輸協(xié)議)開放,主要用于在WWW(World Wide Web,萬維網(wǎng))服務(wù)上傳輸信息的協(xié)議。理論上,很多端口都該是關(guān)閉著的,但由于計(jì)算機(jī)操作人員技術(shù)水平的局限性,不能關(guān)閉操作系統(tǒng)默認(rèn)開放的端口各種原因,很多端口默認(rèn)都是開啟的,由于大多數(shù)用戶計(jì)算機(jī)管理操作水平有限,于是就有好事者進(jìn)入,主人的隱私信息及重要的有價(jià)值文件數(shù)據(jù)被刺探,不堪其擾。

二、“肉雞”木馬肆虐的原因與取向

黑客、病毒制作者與傳播販賣者們?yōu)槭裁礋嶂杂讷@取他人電腦的控制權(quán)?炫耀其計(jì)算機(jī)技術(shù)水平僅在其次,更深層次的原因是通過不法手段,不勞而獲奪取他人的金錢資產(chǎn)與文件數(shù)據(jù)價(jià)值。具體可分類為:

(一)盜竊“肉雞”機(jī)器用戶的真實(shí)財(cái)產(chǎn)

網(wǎng)絡(luò)商業(yè)用途的開發(fā),使得如網(wǎng)上銀行、網(wǎng)上炒股、網(wǎng)上期貨證券交易等電子商務(wù)項(xiàng)目建設(shè)迅速發(fā)展崛起,在帶給人民理財(cái)便捷的同時(shí),新的信息安全問題與由此所產(chǎn)生的糾紛案例也接踵而來。由于在網(wǎng)絡(luò)真實(shí)財(cái)產(chǎn)包括網(wǎng)上銀行,可以進(jìn)行網(wǎng)上金額支付與轉(zhuǎn)帳,一旦用戶的網(wǎng)銀帳號(hào)被盜,即笑話為別人的消費(fèi)買單。此外,還有網(wǎng)上炒股、證券交易之類的軟件也一樣也難免在軟件設(shè)計(jì)被別有用心之人找出漏洞并利用木馬或病毒程序乘虛而入,輕易獲得取帳號(hào)與密碼。

(二)盜竊“肉雞”電腦的虛擬財(cái)產(chǎn)

網(wǎng)絡(luò)游戲已是益也為人們?cè)诰o張工作之余休閑的一種生活方式。然而更多的知名的網(wǎng)絡(luò)游戲均需付費(fèi)購置網(wǎng)絡(luò)游戲虛擬財(cái)產(chǎn)。如網(wǎng)絡(luò)游戲ID帳號(hào)裝備、QQ號(hào)里的Q幣、聯(lián)眾的虛擬榮譽(yù)值等等。虛擬財(cái)產(chǎn)是可以兌現(xiàn)為真實(shí)貨幣的,積累起來就是財(cái)富。游戲參與者的浩大與有利可圖,加之游戲者疏于防范與信息安全意識(shí)與監(jiān)控水平有限,也是黑客借此生財(cái)之道的根源。

(三)盜竊他人的隱私數(shù)據(jù)

網(wǎng)絡(luò)作為一把雙刃劍,在給人們帶來繁榮、便利的同時(shí),也存在很多不安全的因素。特別是網(wǎng)絡(luò)的公開性和易窺竊性很容易使人們的隱私暴露于天下,個(gè)人隱私面臨著嚴(yán)重的威脅。利用偷來的受害人隱私信息進(jìn)行詐騙、勒索的案例也屢見不鮮。黑客通過軟件侵入他人電腦,使之成為“肉雞”,借機(jī)窺探他人隱私,尤其是他人的負(fù)面隱私,以達(dá)到宣泄個(gè)人自己壓抑的欲望、憎恨或期待,尤其是那些性隱私被曝光的人身上,借著別人的身體,依靠自己的想象,在意念上發(fā)泄自己的性欲和攻擊欲,在心理上得到報(bào)復(fù)性或勝利的滿足。給他人在精神、名譽(yù)、肖像權(quán)以及家庭社會(huì)影響力上等多個(gè)方面帶來不可估量的傷害。以“艷照門”事件為例,姑且不論他人在個(gè)人的道德及其隱私是否應(yīng)受到法律制裁,單就未經(jīng)法律程序或他人允許,而非法散布他人隱私信息,在社會(huì)及人們道德與法律的界定上,都是令人不齒的。此外,攻擊者還熱衷于遠(yuǎn)程控制別人的攝像頭,滿足偷窺他人隱私的邪惡目的。

(四)盜取他人QQ號(hào)碼來獲取非法利益

網(wǎng)絡(luò)聊天工具已成為人們?nèi)穗H關(guān)系聯(lián)系一種方式,黑客通過木馬程序獲取“肉雞”機(jī)器上的QQ號(hào)以后,可以通過你的QQ等級(jí)、QQ秀、Q幣等轉(zhuǎn)賣等獲取錢財(cái),也可以將盜得的QQ號(hào)碼進(jìn)行“銷售”?；蛘呃檬芎θ藗€(gè)人資料人脈關(guān)系進(jìn)行詐騙獲取非法利益。更有甚者,明目張膽地向被盜號(hào)者勒索。黑客一旦獲取你的QQ號(hào)碼與密碼后,你的QQ好友,你的Email聯(lián)系人,手機(jī)聯(lián)系人,都是攻擊者的目標(biāo),攻擊者可以偽裝成你的身份進(jìn)行各種不法活動(dòng),每個(gè)人的人脈關(guān)系都是有商業(yè)價(jià)值的。如果在受害者的QQ聊天記錄或QQ郵箱中偷到受害人電腦上的商業(yè)信息,比如財(cái)務(wù)報(bào)表、人事檔案,攻擊者都可以謀取非法利益。

三、避免成為“肉雞”應(yīng)對(duì)策略

“肉雞”電腦是攻擊者“致富”的源泉,在黑客攻擊者的機(jī)器里,“肉雞”電腦就一只只待宰的羔羊一樣被賣來賣去。與其憤憤不平,不如退而結(jié)網(wǎng),思索應(yīng)對(duì)防御才為上策。如何構(gòu)筑起自己機(jī)器軟件防護(hù)資源的“銅墻鐵壁”?真正成為自己機(jī)器的主宰。具體的策略有:

1.如何檢查自己的電腦是不是肉雞?警惕注意個(gè)人計(jì)算機(jī)在網(wǎng)絡(luò)上的異?，F(xiàn)象與跡象。對(duì)秘自己機(jī)器是否已遭受木馬入侵,做到心中有數(shù),并及時(shí)地將木馬程序清除。

具體表征的現(xiàn)象與跡象如:

(1)QQ登錄系統(tǒng)提示異常IP,MSN提醒你曾給給朋友發(fā)過郵件的虛無信息。

(2)網(wǎng)絡(luò)游戲登錄時(shí)發(fā)現(xiàn)裝備丟失或和你上次上機(jī)時(shí)的時(shí)間與IP不符,甚至用正確的密碼無法登錄。

(3)突然發(fā)現(xiàn)你的鼠標(biāo)不聽使喚,鼠標(biāo)異常移動(dòng),并點(diǎn)擊有關(guān)按鈕或界面進(jìn)行操作。

(4)正常上網(wǎng)時(shí),感覺突然異常不暢,硬盤指示燈不停閃爍,如同你平時(shí)在COPY文件。

(5)當(dāng)你準(zhǔn)備使用攝像頭或其他設(shè)備時(shí),系統(tǒng)提示,該設(shè)備正在使用中。

(6)在你沒有使用網(wǎng)絡(luò)資源時(shí),發(fā)現(xiàn)網(wǎng)卡燈在不停閃爍……

用戶應(yīng)立即檢查進(jìn)程動(dòng)態(tài),或借助一些軟件來觀察網(wǎng)絡(luò)活動(dòng)情況,以檢查系統(tǒng)是否被入侵。如tcpview、金山清理專家等。

2.對(duì)個(gè)人電腦所用操作系統(tǒng)進(jìn)行安全性改造。如用戶口令設(shè)置,并保證口令使用字母和其它特殊字符的組合,長(zhǎng)度不低于8位,并定期修改口令;或改變登錄方式,要求必須按ctrl+alt+del才可以登錄。

3.任何時(shí)候離開個(gè)人電腦時(shí),建議拔掉網(wǎng)線,或斷開網(wǎng)絡(luò)。不能斷線的計(jì)算機(jī),建議采用機(jī)器休眠鎖定,不要讓陌生人能夠物理的接觸到你的計(jì)算機(jī)。

4.確保網(wǎng)絡(luò)防火墻啟用,并保障機(jī)器所用殺毒和防火墻軟件能及時(shí)升級(jí)。對(duì)于互聯(lián)網(wǎng)用戶來說,網(wǎng)絡(luò)防火墻(注意,這里指firewall,不是很多人認(rèn)為的病毒實(shí)時(shí)監(jiān)控)是隔離本機(jī)計(jì)算機(jī)和外界的一道關(guān)口,正確啟用和配置防火墻,將會(huì)使你減少很多直接面對(duì)攻擊的機(jī)會(huì)。在你的系統(tǒng)有漏洞未修補(bǔ)時(shí),防火墻可能是唯一可保護(hù)你的電腦安全的解決方案。

但是,不要以為開啟了防火墻就萬事無憂了,防火墻基本只是攔截由外到內(nèi)(由互聯(lián)網(wǎng)到本機(jī))通信,由內(nèi)向外的訪問,很容易使用各種手段進(jìn)行欺騙,木馬就是這樣逃避防火墻完成盜竊任務(wù)的。在網(wǎng)頁訪問時(shí),對(duì)所要求安裝的插件也要謹(jǐn)慎安裝。盡管,防火墻不是總有效,但有防火墻比沒有強(qiáng)很多,是必須要啟用的。

5.切實(shí)關(guān)注安全漏洞信息,及時(shí)使用各種補(bǔ)丁修復(fù)工具(如360安全衛(wèi)士等),提升系統(tǒng)安全性。

系統(tǒng)漏洞在正式公布前,通常會(huì)被黑客利用很長(zhǎng)時(shí)間,這就是通常說的0day攻擊,這樣的攻擊也越來越常見。漏洞涉及windows操作系統(tǒng)文件和其它應(yīng)用軟件,但風(fēng)險(xiǎn)最大的仍是windows系統(tǒng)漏洞。應(yīng)用軟件漏洞的利用會(huì)受到較多的環(huán)境制約,通常風(fēng)險(xiǎn)相對(duì)較低。

最近廣泛引起人們關(guān)注的是flash player漏洞,攻擊者可利用這個(gè)漏洞運(yùn)行任意指定的代碼。能用windows update的,一定要用,讓windows進(jìn)行自動(dòng)更新?？吹接蚁陆莣indows update正在工作的圖標(biāo),別給阻止了。用戶不能正常使用windows update或microsoft update的,建議使用第三方漏洞修復(fù)工具。

6.安裝使用殺毒軟件,并經(jīng)常檢查是否工作正常,是否可以進(jìn)行病毒特征的更新。

不要把安全問題只交給殺毒軟件來負(fù)責(zé),安全是系統(tǒng)工程,殺毒軟件只是其中的一環(huán)。病毒的新民變種總是先期于殺毒軟件更新。在很多情況下,安裝殺毒軟件后,還是會(huì)中各種各樣的病毒。但這不能說明殺毒軟件不必要,相反,殺毒軟件是非常重要的,如果沒有殺毒軟件,系統(tǒng)可能會(huì)更糟。

越來越多的病毒為了入侵你的系統(tǒng),首先會(huì)嘗試將殺毒軟件癱瘓。破壞殺毒軟件的功能,可能比殺毒軟件對(duì)付病毒還要容易。破壞者會(huì)針對(duì)這幾種安全軟件做手腳。并且,病毒制造者不象殺毒軟件那樣,必須考慮每個(gè)更新帶來的兼容性問題,攻擊者只關(guān)注木馬需要完成的任務(wù),不計(jì)后果。木馬病毒制造者是這樣痛恨殺毒軟件,用戶不要指望殺毒軟件自身可以做成銅墻鐵壁。連操作系統(tǒng)都可以被破壞,何況殺毒軟件。

我們還可以把殺毒軟件的工作狀態(tài),當(dāng)作另一種檢驗(yàn)工具:只要觀察到殺毒軟件突然不工作了,第一反應(yīng)就應(yīng)是否被木馬給破壞了。

7.對(duì)使用的移動(dòng)存儲(chǔ)設(shè)備要先殺毒再使用。移動(dòng)存儲(chǔ)設(shè)備因接觸的機(jī)器多,最容易成為病毒和木馬的攜帶者和傳播者。現(xiàn)在,公眾越來越頻繁的使用移動(dòng)存儲(chǔ)設(shè)備(移動(dòng)硬盤、U盤、數(shù)碼存儲(chǔ)卡)傳遞文件,這些移動(dòng)存儲(chǔ)設(shè)備成為木馬傳播的重要通道。通常把這樣的病毒稱為U盤病毒或AUTO病毒。意思是插入U(xiǎn)盤這個(gè)動(dòng)作,就能讓病毒從一個(gè)U盤傳播到另一臺(tái)電腦?？山肬盤的自動(dòng)播放功能,將染毒的風(fēng)險(xiǎn)降低。

8.安全上網(wǎng),更需文明上網(wǎng)。成為肉雞很重要的原因之一是瀏覽不安全的網(wǎng)站,區(qū)分網(wǎng)站安全與否,這對(duì)普通用戶來說,甚是困難。即使正常的網(wǎng)站也存在被入侵植入木馬的可能性。也有被ARP攻擊之后,訪問任何網(wǎng)頁都有可能下載木馬的風(fēng)險(xiǎn)。目前沿?zé)o良法去規(guī)避網(wǎng)頁瀏覽與下載而中木馬的風(fēng)險(xiǎn)。只能降低這種風(fēng)險(xiǎn)。另外瀏覽器的安全性也應(yīng)特別關(guān)注,瀏覽器和瀏覽器插件的漏洞是黑客們的最愛,如flash player漏洞就是插件漏洞,這種漏洞是跨瀏覽器平臺(tái)的,任何使用flash player的場(chǎng)合都可能存在這種風(fēng)險(xiǎn)。瀏覽器漏洞的及時(shí)修補(bǔ),將瀏覽器及時(shí)升級(jí)到最新版本,將減少把有風(fēng)險(xiǎn)的系統(tǒng)暴露給攻擊者的時(shí)間。

避免瀏覽一些不健康的灰色站點(diǎn),如人數(shù)眾多的生活社區(qū)、在線視頻社區(qū)、聊天交友社區(qū)、色情類網(wǎng)站、賭博類網(wǎng)站等等。瀏覽這些類網(wǎng)站后,易發(fā)現(xiàn)系統(tǒng)異常,采取上述方法進(jìn)行檢查。

以上所述,絕非安全防護(hù)的全部,只能說是應(yīng)對(duì)風(fēng)險(xiǎn)幾大環(huán)節(jié)。注意從上述幾點(diǎn)有意識(shí)地對(duì)計(jì)算機(jī)進(jìn)行安全防護(hù),至少水平較低的黑客無計(jì)可施。對(duì)計(jì)算機(jī)病毒與木馬的安全防范,是一個(gè)動(dòng)態(tài)的、長(zhǎng)期的過程。時(shí)刻提高警惕,在互聯(lián)網(wǎng)及文件數(shù)據(jù)處理時(shí)要有首先清除病毒木馬侵襲威脅的觀點(diǎn)。如同外科醫(yī)生眼里認(rèn)為一切物體都是被細(xì)菌病毒污染的,消毒是最基本原則一樣。同時(shí)應(yīng)值得高興地是我們國家及其他國家也正在信息安全立法和執(zhí)法的的角度上將此上升為國家意識(shí)與意志。將會(huì)利網(wǎng)絡(luò)空間這塊天地走向明凈與美好。

參考文獻(xiàn):

[1]張新寶,隱私權(quán)的法律保護(hù),北京群眾出版社,1997.

[2]楊立新,“關(guān)于隱私權(quán)及其法律保護(hù)的幾個(gè)問題”,人民檢察,2000.

[3]曹亦萍,“社會(huì)信息化與隱私權(quán)保護(hù)”,政法論壇,1998.

[4]張秀蘭,網(wǎng)絡(luò)隱私權(quán)保護(hù)研究,北京圖書館出版社,2001.

[5]魏振瀛,民法,北京大學(xué)出版社高等教育出版社,2006,第二版.