您现在的位置是:首页 > IT基础架构 > 网络与安全 >

从甲型H1N1看木马和流感病毒之间的类比

2009-08-28 22:48:00作者: 来源:

摘要目前的主要威胁方式从入侵攻击、网络蠕虫转向主要通过网页挂马等方式传播木马,构建地下挂马产业链,窃取机密文件、隐私信息、各种帐号从而谋取暴利,并组建僵尸网络,发动群体攻击,严重威胁着互联网的生存和发展。在甲流肆虐的今天,笔者想谈谈这一事件对于木马检测防范的...

自03年SARS以来,类似这种具备广泛传染性的病毒事件屡见不鲜,从禽流感再到现在的甲型H1N1,可谓“一波未平,一波又起”。

笔者于2003年写过一篇“从SARS看网络安全预警与应急保障体系”,主要谈的是面对类似SARS这种突发的网络安全事件中检测、预警、应急体系的粗浅思路,而时隔6年,网络安全的总体形势在发生变化,目前的主要威胁方式从入侵攻击、网络蠕虫转向主要通过网页挂马等方式传播木马,构建地下挂马产业链,窃取机密文件、隐私信息、各种帐号从而谋取暴利,并组建僵尸网络,发动群体攻击,严重威胁着互联网的生存和发展。在甲流肆虐的今天,笔者想谈谈这一事件对于木马检测防范的启示。

根据卫生专家的定义,甲型H1N1流感病毒属于病毒家族中正黏液病毒科,可以分为l5个H亚型。 流感病毒的一大特性就是多变性。如果人流感病毒和禽、猪流感病毒经过抗原转换形成新的人类流感病毒毒株,就可以在人与人之间传播。人群对这种新的病毒毒株没有免疫力。本次北美发现的A/H1N1病毒就具有来自猪、禽类和人类的基因片段,因此防范这种病毒还是有比较大的挑战性。

木马一词源自于古希腊著名的特洛伊战争。现代计算机中对于木马的定义是:木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。

根据木马程序对计算机的具体控制动作方式,可以把现存的木马程序分为以下的几类:

1.远程访问型木马

远程访问型木马是现在最广泛的特洛伊木马。这种木马可以使远程控制者在本地机器上做任意的事情,比如键盘记录、上传和下载功能、发射一个“截取屏幕”等等。这种类型的木马有著名的BO(Back Office)、国产的冰河等。

2.密码发送型木马

密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。

3.键盘记录型木马

键盘记录型木马只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里做完整的记录。这种木马程序随着Windows的启动而启动,记录每一个用户事件,然后通过邮件或其他方式发送给控制者。

4.毁坏型木马

大部分木马程序只窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动地删除受控制者计算机上所有的.dll或.ini或.exe文件,甚至远程格式化受害者硬盘。毁坏型木马的危害很大,一旦计算机被感染而没有即时删除,系统中的信息会在顷刻间灰飞烟灭。

5.开启后门型木马

如:FTP型木马就是打开被控制计算机的21端口 (FTP所使用的默认端口), 使每一个人都可以用一个FTP 客户端程序来不用密码连接到受控制端计算机,并且可以进行最高权限的上传和下载,窃取受害者的机密文件。

6.下载型木马

下载型木马是近年来出现一种新型木马,本身不对电脑做破环,但该木马一旦执行,会在瞬间下载上百个木马,就象蝗灾来袭时那样铺天盖地。这些木马以“集群作战”的方式,从各个途径彻底破坏用户电脑安防体系。木马下载器具有很强的驱动级自我保护能力,可以让杀毒软件的普通查杀模式全都失效,并且传播途径非常广泛,目前主要方式是通过网页挂马的方式来进行。

结合H1N1的流感病毒和木马的特点,我们可以清楚看到它们的相同点和不同点。

相同点:?

◆木马和流感病毒都是独立存在的个体。?

◆对于植入对象有明确的危害性。?

◆被植入对象都能够表现出一定症状。

不同点:?

◆流感病毒具备自繁殖性和自动感染,因此危害比较大,而木马本身不具备繁殖性和自动感染的功能,只能依赖木马作者或获取源代码的人进行变种,并通过网页挂马、社会工程或结合蠕虫等方式扩大传播面。?

◆流感病毒源自于自然界,形成机理比较复杂,涉及到医学、病毒学、基因学等多个层面,目前还需要进一步研究。而木马完全源自人为,形成模式有规律可循。

(责编:小好)


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们