魔道斗法——木马防范见招拆招
如今谈“马”色变者,恐怕已不在少数。相信多数网民已经从自己的“失窃”经历中感受到了木马的危害。许多木马病毒在与杀毒软件的旷日持久战中,已经练就了一套“反杀毒软件”的邪派秘技——通过修改计算机时间让杀软过期,利用破坏性病毒程序将杀软“杀掉”然后再发作病毒……木马病毒的种种恶行只有一个目的,那就是入侵您的电脑。难道只能坐以待毙?其实不然,木马虽然狡猾,但如果我们采取相应的防范手段,还是可以尽量远离木马的,今天就让我们来个“魔道斗法”,见招拆招。
正所谓知己知彼百战不殆,先讨论一下木马的原理,可以更好地帮助我们理解木马病毒的“作案”心理,彻底识破木马病毒的诡计。
简单来说,木马分为两大部分,客户端和服务端,客户端在黑客手中掌握,负责远程控制电脑,而服务端需要让用户的电脑中毒,这样它才能隐藏在用户的电脑中,伺机准备随时接受黑客客户端发出的命令,进行一系列的“窃取”活动。 为了能够让木马发挥作用又不被用户发现,黑客常常通过各种方式对它进行伪装,伪装的伎俩可谓是层出不穷,让人防不胜防。下面就让我们来揭秘木马隐藏的种种招数。
木马第一计:瞒天过海、偷梁换柱
表现:
伪造图标、修改文件名。因为Windows系统是采用不同的图标表示不同的文件类型,因此黑客常常利用此特点迷惑用户,黑客将准备注入用户电脑的木马病毒程序的图标伪造成一些常见的文件类型图标,一旦用户没能分辨出伪造的图标,将程序运行,黑客的入侵工作也就完成了一大半。图标伪装与文件名修改往往采用配合进行的方式,这样就更增大了用户被欺骗的可能性。另外有些黑客利用人们的猎奇心里,将文件的名称取得较具有诱惑性,用一些热烈火辣的字眼去欺骗用户运行它。
拆招:
木马无论怎么伪装图标和文件名,如果它想运行自己的代码,它的后缀都应该是可执行的扩展名,比如EXE、COM、BAT等,这种方式在利用P2P程序进行文件传输的时候常常用到,而且通常是和图标伪装一起使用,让用户防不胜防。
因此具有良好的习惯在一定程度上可以避免类似的迷惑性。如何做到呢?当你下载一个文件后,不要先双击打开,你可以通过右键查看属性---如果此时你发现原本是文本文件的图标,而现在属性却显示的应用程序,那么这个文件就一定有问题。或者让系统显示后缀名---可以让文件的全部名字显示完整。比如:一个处理过的文件是“病毒.rar”你以为是个RAR文件,其实不然,当你显示后缀,你会发现这个文件是“病毒.rar.exe”。像这样的欺骗方法很多,在P2P下载中经常遇到的,用户应该提高警惕。如果你觉得类似的方法过于复杂,那么你可以使用带有主动防御功能的安全软件,此类安全软件不需要用户有很高的电脑使用技巧,一样可以及时查杀木马,做到先知先觉,防患于未然。
木马第二计:借刀杀人、笑里藏刀
表现:文件捆绑、网页挂马、邮件附件带毒
文件捆绑是指木马将自己与正常的文件捆绑在一起,通过正常的文件欺骗用户去运行,这样用户实际上也就等于是运行了木马病毒。捆绑后的文件很有迷惑性,而且加上木马一般在后台运行,用户点击后不会出现什么异状,往往会在不知不觉中中招。
网页木马是黑客成功利用了系统以及一些程序的漏洞,诱骗用户浏览某个被挂上木马的网页,在用户浏览的时候,网页木马就会成功地利用系统的漏洞,从而将设置的木马病毒程序“悄悄地”安装到用户系统中。
想必通过电子邮件的附件带毒的形式传播病毒已经被很多朋友所熟知,黑客通过伪造一些著名的企业或用户好友的邮件来欺骗用户,通过邮件附件来传播木马病毒程序。
拆招:
文件捆绑、网页挂马、邮件附件带毒都是木马借助“他人”之手以到达自己的目的,由于木马病毒自身的特殊性,在很多情况下,黑客为了能更好的让木马“发挥作用”,因此对于木马的隐蔽性以及用户电脑中毒后的“反应”都进行精心的处理,使得用户的系统在中了木马病毒之后也无明显变化,因此多数用户基本察觉不到自己其实已经中毒。
一般中了木马程序最简单的办法就是用杀毒软件清除,如果对系统熟悉也可以手动清除,用msconfig.exe仔细检查一下是否有可疑的启动项目。发现可疑程序将其启动方式在msconfig中屏蔽即可,重启系统则木马的加载项就完全失效了。如果你觉得上述的方法过于复杂,那么我建议你使用主动防御软件或者HIPS软件,主动防御现在也很多,但智能化的就属微点最好,在没有特征的情况下,通过行为分析,对程序进行监控,达到未卜先知;HIPS有很多,可以试试SSM,EQ等……
总结篇:
随着木马病毒的日益产业化,黑客们在制造病毒时,都在寻求免杀保护(即修改病毒特征,让杀毒软件扫描不出!或设置保护进程,一旦被杀,会自动衍生出新的程序等等,各种伎俩日新月异)虽然现在推出了什么启发式,但这都是基于特征的。于是黑客们的技术也在不断提升,黑客们已经深刻领悟到了“特征码扫描”对于新病毒的“抵抗能力”的低下,很多黑客开始针对杀毒软件来编写木马病毒,用来“反杀软”,以终止杀毒软件的正常工作。这也就是有些用户说的“为什么安装了杀毒软件还是会中毒的原因”。
如何变“被动抵御”为“主动防御”,俨然已经成为广大安全厂商对未来发展趋势的共识, 其实“主动防御”早就不是什么新鲜的概念,早在2005年就曾有安全专家指出,对于未来的计算机病毒,安全软件能够实现“主动防御”才是关键。那么什么才是主动防御呢?打个比方:“特征码”就相当于通缉令,先有人作案,然后有人报案(上传样本),公安侦查(提取特征),发布通缉令(客户端升级),然后依照一个红马甲(特征)逮一个(特征码杀毒)。“主动防御”相当于不管小偷穿什么颜色衣服,长什么样,用手偷还是用工具偷,掏兜还是割包,只要小偷具备了一系列的“偷窃”连贯动作:先鬼鬼祟祟跟在一个人身后,很快你又看到他向前面的那个人的皮包伸出了手,紧接着你又看到他的手已经伸到对方皮包里,此时主动防御机制已经通过上述的动作判断出小偷的“不法行为”,这样主动防御机制就第一时间先终止病毒的行为,同时进行报警,如果您选择删除,那么主动防御机制就会在您下达删除命令后干掉病毒。
说了这么多,其实最简便易行的防木马办法还是使用专业厂商的防护产品最可靠,毕竟这是一项关系到自身信息安全的大事,同时又如此专业,当然由专业人士来处理最好了。目前看到的号称有“主动防御”功能的产品不少,但真正好用的却不多,微点的主动防御软件虽然还没有销售,但口碑已经很不错了。别人都叫什么“杀毒软件”,唯有微点直呼“主动防御软件”,可见其专业定位。
中国有句老话叫“未雨绸缪”,上面介绍的木马病毒的种种手段也是给广大用户提供一些鉴别手段,希望通过今天的介绍能给您对于如何更安全使用电脑带来一些启发,不过无论如何,安全软件“主动防御”技术终究会取代以特征码查杀作为主要防御手段是个不争的事实。
正所谓知己知彼百战不殆,先讨论一下木马的原理,可以更好地帮助我们理解木马病毒的“作案”心理,彻底识破木马病毒的诡计。
简单来说,木马分为两大部分,客户端和服务端,客户端在黑客手中掌握,负责远程控制电脑,而服务端需要让用户的电脑中毒,这样它才能隐藏在用户的电脑中,伺机准备随时接受黑客客户端发出的命令,进行一系列的“窃取”活动。 为了能够让木马发挥作用又不被用户发现,黑客常常通过各种方式对它进行伪装,伪装的伎俩可谓是层出不穷,让人防不胜防。下面就让我们来揭秘木马隐藏的种种招数。
木马第一计:瞒天过海、偷梁换柱
表现:
伪造图标、修改文件名。因为Windows系统是采用不同的图标表示不同的文件类型,因此黑客常常利用此特点迷惑用户,黑客将准备注入用户电脑的木马病毒程序的图标伪造成一些常见的文件类型图标,一旦用户没能分辨出伪造的图标,将程序运行,黑客的入侵工作也就完成了一大半。图标伪装与文件名修改往往采用配合进行的方式,这样就更增大了用户被欺骗的可能性。另外有些黑客利用人们的猎奇心里,将文件的名称取得较具有诱惑性,用一些热烈火辣的字眼去欺骗用户运行它。
拆招:
木马无论怎么伪装图标和文件名,如果它想运行自己的代码,它的后缀都应该是可执行的扩展名,比如EXE、COM、BAT等,这种方式在利用P2P程序进行文件传输的时候常常用到,而且通常是和图标伪装一起使用,让用户防不胜防。
因此具有良好的习惯在一定程度上可以避免类似的迷惑性。如何做到呢?当你下载一个文件后,不要先双击打开,你可以通过右键查看属性---如果此时你发现原本是文本文件的图标,而现在属性却显示的应用程序,那么这个文件就一定有问题。或者让系统显示后缀名---可以让文件的全部名字显示完整。比如:一个处理过的文件是“病毒.rar”你以为是个RAR文件,其实不然,当你显示后缀,你会发现这个文件是“病毒.rar.exe”。像这样的欺骗方法很多,在P2P下载中经常遇到的,用户应该提高警惕。如果你觉得类似的方法过于复杂,那么你可以使用带有主动防御功能的安全软件,此类安全软件不需要用户有很高的电脑使用技巧,一样可以及时查杀木马,做到先知先觉,防患于未然。
木马第二计:借刀杀人、笑里藏刀
表现:文件捆绑、网页挂马、邮件附件带毒
文件捆绑是指木马将自己与正常的文件捆绑在一起,通过正常的文件欺骗用户去运行,这样用户实际上也就等于是运行了木马病毒。捆绑后的文件很有迷惑性,而且加上木马一般在后台运行,用户点击后不会出现什么异状,往往会在不知不觉中中招。
网页木马是黑客成功利用了系统以及一些程序的漏洞,诱骗用户浏览某个被挂上木马的网页,在用户浏览的时候,网页木马就会成功地利用系统的漏洞,从而将设置的木马病毒程序“悄悄地”安装到用户系统中。
想必通过电子邮件的附件带毒的形式传播病毒已经被很多朋友所熟知,黑客通过伪造一些著名的企业或用户好友的邮件来欺骗用户,通过邮件附件来传播木马病毒程序。
拆招:
文件捆绑、网页挂马、邮件附件带毒都是木马借助“他人”之手以到达自己的目的,由于木马病毒自身的特殊性,在很多情况下,黑客为了能更好的让木马“发挥作用”,因此对于木马的隐蔽性以及用户电脑中毒后的“反应”都进行精心的处理,使得用户的系统在中了木马病毒之后也无明显变化,因此多数用户基本察觉不到自己其实已经中毒。
一般中了木马程序最简单的办法就是用杀毒软件清除,如果对系统熟悉也可以手动清除,用msconfig.exe仔细检查一下是否有可疑的启动项目。发现可疑程序将其启动方式在msconfig中屏蔽即可,重启系统则木马的加载项就完全失效了。如果你觉得上述的方法过于复杂,那么我建议你使用主动防御软件或者HIPS软件,主动防御现在也很多,但智能化的就属微点最好,在没有特征的情况下,通过行为分析,对程序进行监控,达到未卜先知;HIPS有很多,可以试试SSM,EQ等……
总结篇:
随着木马病毒的日益产业化,黑客们在制造病毒时,都在寻求免杀保护(即修改病毒特征,让杀毒软件扫描不出!或设置保护进程,一旦被杀,会自动衍生出新的程序等等,各种伎俩日新月异)虽然现在推出了什么启发式,但这都是基于特征的。于是黑客们的技术也在不断提升,黑客们已经深刻领悟到了“特征码扫描”对于新病毒的“抵抗能力”的低下,很多黑客开始针对杀毒软件来编写木马病毒,用来“反杀软”,以终止杀毒软件的正常工作。这也就是有些用户说的“为什么安装了杀毒软件还是会中毒的原因”。
如何变“被动抵御”为“主动防御”,俨然已经成为广大安全厂商对未来发展趋势的共识, 其实“主动防御”早就不是什么新鲜的概念,早在2005年就曾有安全专家指出,对于未来的计算机病毒,安全软件能够实现“主动防御”才是关键。那么什么才是主动防御呢?打个比方:“特征码”就相当于通缉令,先有人作案,然后有人报案(上传样本),公安侦查(提取特征),发布通缉令(客户端升级),然后依照一个红马甲(特征)逮一个(特征码杀毒)。“主动防御”相当于不管小偷穿什么颜色衣服,长什么样,用手偷还是用工具偷,掏兜还是割包,只要小偷具备了一系列的“偷窃”连贯动作:先鬼鬼祟祟跟在一个人身后,很快你又看到他向前面的那个人的皮包伸出了手,紧接着你又看到他的手已经伸到对方皮包里,此时主动防御机制已经通过上述的动作判断出小偷的“不法行为”,这样主动防御机制就第一时间先终止病毒的行为,同时进行报警,如果您选择删除,那么主动防御机制就会在您下达删除命令后干掉病毒。
说了这么多,其实最简便易行的防木马办法还是使用专业厂商的防护产品最可靠,毕竟这是一项关系到自身信息安全的大事,同时又如此专业,当然由专业人士来处理最好了。目前看到的号称有“主动防御”功能的产品不少,但真正好用的却不多,微点的主动防御软件虽然还没有销售,但口碑已经很不错了。别人都叫什么“杀毒软件”,唯有微点直呼“主动防御软件”,可见其专业定位。
中国有句老话叫“未雨绸缪”,上面介绍的木马病毒的种种手段也是给广大用户提供一些鉴别手段,希望通过今天的介绍能给您对于如何更安全使用电脑带来一些启发,不过无论如何,安全软件“主动防御”技术终究会取代以特征码查杀作为主要防御手段是个不争的事实。