从兽兽视频下载看“木马”入侵与防范

　　最近模特圈爆出2010年第一个“艳照门”事件，女主角是来自第一车模兽兽!警惕车模兽兽“艳照门”视频下载暗藏木马，勿信谣言，避免木马趁虚而入!一句这样的话将这个娱乐圈的事件与网络安全连到了一起。一时间，兽兽成为模特圈中的“兽”，而在安全领域“木马”则成为安全领域中的“兽”。

　　某企业安全工程师提醒广大网友，木马传播的特点是“好奇害死猫”，带着色情诱惑的“门”背后通常都潜伏着伺机散播木马的黑客，网友们应谨慎浏览相关网页，也不要随意下载照片视频，近期流行的“隐身猫”木马就在和兽兽视频捆绑传播，已有不少网友因此中招。

　　仅一天的时间，木马团伙已经迅速盯上“兽兽艳照门”，截止发稿时，10个相关网站被黑客植入了恶意代码，还有不少网友反映，下载的视频照片里都被捆绑了木马。这些受到“兽兽艳照门”、“兽兽激情视频下载”等标题诱惑的网友如果没有开启有效的安全软件，木马便会通过系统漏洞入侵电脑。

　　“最近几天，木马团伙也流行起了一款最新高危远程控制类木马，名为‘隐身猫’。这款木马的传播量在春节期间剧增，已经有超过80万台电脑被感染。因此，网民最近上网要格外小心，在搜索信息、浏览网页和下载软件时，都务必开启安全软件，避免木马趁虚而入。”安全工程师介绍说。

　　相对病毒而言，我们可以简单地说，病毒破坏你的信息，而木马窃取你的信息。目前流行的木马，按其伪装效果，可归结为五类：

　　“李鬼”型 这种木马最常见，例如“网银大盗”，它把自己的名字写成“svch0st.exe”，如果你不是十分仔细去看的话，跟svchost.exe(常用系统软件)是非常像的，除了“0”代替“o”外，惯用的还有“1”替换“I”。

　　“钩子”型 有些木马把自己的关键动态链接文件钩在操作系统的某个应用程序上，例如浏览器上，如果点击一个看似正常的网站，浏览网页的同时，就中了木马。

　　“同归于尽”型 这种木马，一般会将自己与某种类型的文件相关联，比如常见的可执行文件，你只要打开关联文件就会自动运行它，而且若删除这种木马，轻微的是系统某些软件不能运行，重则系统随之瘫痪。

　　“反向联络”型 一般远程控制，种木马的人主动来找侵入目标。但是，反向连接木马是：你的机器中了木马，木马会不断发送连接指令，主动找种木马人，而一般计算机的防火墙对外来连接敏感，对向外连接却不那么敏感，一般普通用户不好判别。这种反其道而行之的手法，更易得手。如：nethief(网络神偷)就是这种方式。

　　“透明”型 木马是透明的，你看不到木马文件，找不到木马的启动方式，看不到木马进程，甚至你连木马的端口也看不到，如Hacker Defender(黑客守护者)就是这类透明木马软件的有名代表。

　　木马窃密的主要方式

　　暴力破解 通过暴力破解获取用户的个人资料、账号、密码等。

　　键盘窃听 记录你操作键盘的击键字符获取你的账号、密码、涉密信息。

　　屏幕快照 通过屏幕快照(也叫截屏)获取用户操作计算机时屏幕显示的一帧帧信息。

　　远程控制 如同在本机操作一样，远程任意拷贝、删除、更改用户计算机中的文件、数据等。

　　网络钓鱼 利用浏览器漏洞，设计网页地址欺骗脚本程序，建立假的工商银行、中国银行、政府等网站，网络骗子利用这些假网站，窃取登陆者账号、密码。

　　闪存窃密 如：“闪盘窃密者(Trojan.UdiskThief)”，它一旦被植入你的计算机，不论你此时是否接入互联网，都会自动识别、搜集USB口接入的移动存储器上的内容，并复制到你的计算机硬盘上，计算机一旦接入互联网，这些信息就会自动传到窃密者的计算机上，达到窃密的目的。

　　涉密要害部门隐患

　　近年来，党、政、军、军工企业等涉密要害部门接入互联网十分普及，“一机多用，一盘多用”现象时有发生，一些保密规定也已经严重滞后，存有麻痹大意、无知侥幸心态的也大有人在。

　　对木马的危害认识严重不足

　　某军工企业一接入互联网的计算机上有发送的新闻稿件邮件底稿，技术检查发现了木马软件4个，当询问当事人是否知道危害时，当事人却说“我是给我们上级集团编辑部发稿，不是给其他人发，特别涉密的内容我都没发，你们也看到了，都在硬盘存着，保密这根弦我们随时都绷得很紧”。殊不知木马软件会自动将其硬盘上的资料传输至窃密者的计算机上，造成失泄密事故发生。

　　安全观念没有及时更新

　　随着办公条件的改善，许多涉密要害部门的计算机不仅上了互联网，还配上了语音、视频聊天用的耳麦和视频头。现在远程启动、停止这类计算机外部设备的木马已经很多，如果不小心中了这种木马，就相当于在办公室安了一个窃听器和窥视探头，大家在一起谈论的涉密事情和计算机附近摆放的涉密材料就会被木马窃取。

　　侥幸心理冲撞安全红灯

　　当前，很多部门“一机多用”、“一盘多用”的现象大量存在。许多同志自我感觉不联网，不会被木马盯上，应该是安全的。其实不然，上面说的“闪存木马”就是专门对付这类用户的。这种情况在党政机关、重要涉密部门时有发生，窃密也最有可能在这里出现。

　　对策和建议

　　加快互联网“虚拟”行为规范的立法

　　目前我们还没有对“木马”、“病毒”等具有窃密、破坏性质软件流行的互联网这一虚拟世界进行法律约束。实际上，一个“虚拟”的世界是由一个个现实的个体实现的，人们的“虚拟”行为没有根本脱离现实的“约束”，因此，“虚拟”行为也要受到法律的监督。

　　实时修改、完善计算机接入互联网的相关保密规定

　　随着计算机网络和网络窃密技术的更新，有必要对现行的有关计算机保密规定进行有效性论证，对已经失效的及时修改，并严格执行。

　　加强对计算机窃密手法的跟踪和防范宣传

　　随着计算机远程控制技术的不断翻新，要有专责部门实时跟踪了解木马窃密等技术手法，这是反窃密工作必须首先解决的问题，只有知道了窃密，才能制定相应的反制措施。同时要及时做好相关防范宣传，特别是对高知密人员使用计算机上网的保密宣传。不断提高计算机使用者，特别是涉密要害部门的计算机使用者的保密意识和技术防范水平，切实根除无知侥幸心理。

　　加强对提供木马软件网站的监管力度

　　有关职能部门要加强对相关网站的审核，对境内互联网上的木马软件坚决取缔，严禁上载、销售、使用木马软件，对境外提供此类软件的网站进行封堵。