转载 特洛伊木马攻击原理和防范
特洛伊木马原理
BO(Back Oriffice)象是一种没有任何权限限制的FTP服务器程序,黑客先使用各种方法诱惑他人使用BO的服务器端程序,一旦得逞便可通过BO客户端程序经由TCP/IP网络进入并控制远程的Windows的微机。
其工作原理:Boserve.exe在对方的电脑中运行后,自动在win里注册并隐藏起来,控制者在对方上网后通过Boconfig.exe(安装设置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(图形界面控制程序)来控制对方。
网上更有一些害人虫将木马程序和其他应用程序结合起来发送给攻击者,只要对方运行了那个程序,木马一样的会驻留到Windwos系统中。
BO本质上属于客户机/服务器应用程序。它通过一个极其简单的图形用户界面和控制面板,可以对感染了BO(即运行了 BO服务器)的机器操作Windows本身具备的所有功能。
这个仅有123K的程序,水平一流,令那些复杂而庞大的商用远程管理 软件相形见绌。而真正可怕的是:BO没有利用系统和软件的任何漏洞或Bug,也没有利用任何微软未公开的内部API,而完全是利用Windows系统的基本设计缺陷。甚至连普通的局域网防火墙和代理服务器也难以有效抵挡。
BO服务器可通过网上下载、电子邮件、盗版光盘、人为投放等途径传播,并且可极其隐藏地粘贴在其他应用程序。一旦激活,就可以自动安装,创建Windll.dll,然后删除自安装程序,埋名隐姓,潜伏在机器中。外人就可通过BO客户机程序,方便地搜索到世界上任何一台被BO感染并上网的计算机IP地址。通过IP地址就可对其轻易实现网络和系统控制功能。
可获取包括网址口令、拨号上网口令、用户口令、磁盘、CPU,软件版本等详细的系统信息;可删除、复制、检查、查看文件;可运行机内任何一个程序;可捕捉屏幕信息;可上传各种文件;可以查阅、创建、删除和修改系统注册表;甚至可以使计算机重新启动或锁死机器。而所有这些功能的实现,只需在菜单中作一选择,轻摁一键,就可轻松完成。 除了BO外,还有很多原理和它差不多的特洛伊木马程序,例如:“NetSpy”、“Netbus”等。
防范
不要随便运行不太了解的人给你的程序,特别是后缀名为exe的可执行程序。特洛伊木马程序很多,它们的安装服务器有Boserve.exe(122k),NETSPY.EXE(127k),如果你从Email收到或是DOWN了大小和上述文件一样的EXE文件,运行时可要小心了。运行后如果程序突然消失,或者是无任何反应,那你很可能是被攻击了。这时候你的电脑就完全被别人所控制,他可以复制,删除甚至运行你电脑里的文件和程序。这时你只要到注册表里去修改一下就可以消灭它:运行注册表找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN键值中的“.EXE”和“NETSPY.EXE”等的键值,将其删除,重新启动你的计算机然后删除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了。或用最新版本的杀毒软件,如瑞星90(11),KV300等,你也可以下载一些专门扫除特洛伊木马的软件。 如何防范Back Orifice2000
对于Windows95和Windows98的用户:
检查c:\windows\system目录下是否有UMGR32~1.exe文件,如果有的话请运行Regedit将
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除,Reboot你的机器,然后Delete你硬盘上的这个文件。 对于NT的用户:
检查winnt\system32目录下是否有UMGR32~1.exe这个文件,如果有的话请先在任务管理器中对应的进程Kill掉再运行Regedit将路径指向
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service然后Delete it,最好Reboot一次你的机器。
