木馬病毒引起的安全事件現(xiàn)象

以下兩起案例，是近期發(fā)生的真實(shí)泄密事件，都屬于典型的由木馬病毒造成的無意識泄密事件。

小劉是某機(jī)關(guān)一名干部，平時(shí)好學(xué)上進(jìn)，表現(xiàn)突出，被組織上定為政工干部培養(yǎng)苗子。2006年經(jīng)組織推薦，小劉被送政工班培訓(xùn)。去學(xué)習(xí)前，小劉特意將自己平時(shí)在機(jī)關(guān)撰寫的計(jì)劃、總結(jié)等涉密資料存入U(xiǎn)盤，準(zhǔn)備在學(xué)習(xí)期間進(jìn)行學(xué)術(shù)交流。學(xué)習(xí)期間，小劉多次上網(wǎng)查閱資料，并用該U盤下載參考資料。在此過程中，“輪渡”木馬病毒自動駐存于U盤中，將小劉存儲的涉密資料悉數(shù)“盜”入國際互聯(lián)網(wǎng)。事后查明，小劉泄密的資料達(dá)32份，他因此受到降職、降銜的嚴(yán)肅處理。

董教授，是某大學(xué)知名教授，平時(shí)工作兢兢業(yè)業(yè)，經(jīng)常加班加點(diǎn)在家備課。由于需要查閱資料，他家中的電腦接入了國際互聯(lián)網(wǎng)。董教授白天在辦公室辦公電腦上工作，晚上在家用個(gè)人電腦工作，經(jīng)常用U盤將未完成的工作內(nèi)容在兩個(gè)電腦間相互拷貝。自2005年以來，董教授辦公電腦內(nèi)的二百多份文件資料竟鬼使神差般地“跑”進(jìn)了互聯(lián)網(wǎng)，造成重大泄密。經(jīng)上級保密委員會審查鑒定，涉密文件資料達(dá)三十多份，董教授受到降職降銜、降職稱的嚴(yán)肅處理。

由于在日常工作中，部分公職人員想在因特網(wǎng)上進(jìn)行數(shù)據(jù)查詢，貪圖方便，該職員使用U盤在兩個(gè)不同的電腦間拷貝文件，或者就在涉密網(wǎng)終端上通過撥號、無線上網(wǎng)等的方式，訪問了因特網(wǎng)。該職員在瀏覽網(wǎng)頁時(shí)，訪問了某個(gè)網(wǎng)站，而這個(gè)網(wǎng)站正好被黑客攻擊了，網(wǎng)頁被掛馬。木馬利用“自動下載技術(shù)”，讓該職員在未察覺的情況下潛入了用戶電腦、移動硬盤、U盤。

木馬病毒引發(fā)的危害

目前，隨著新技術(shù)的發(fā)展，移動存儲介質(zhì)的種類日趨多樣，軟盤、U盤、移動硬盤、MP3、MP4、數(shù)碼相機(jī)、記憶棒等在工作中的應(yīng)用十分廣泛，移動存儲設(shè)備在為我們的工作帶來便利的同時(shí)，也帶來了不容忽視的信息安全保密隱患，大大增加了保密管理的難度。

特別是U盤，越來越多地出現(xiàn)在我們的工作中。由于其便于攜帶、方便存取，不少人用它私自下載和保存涉密文件，非法拷貝現(xiàn)象難以控制;還有的人將工作U盤帶回家中，甚至帶著涉密的U盤逛街、訪友，一旦丟失，損失巨大。除了這些泄密隱患外，U盤一旦被植入病毒，特別是木馬病毒后，如果接入涉密計(jì)算機(jī)，我們的涉密文件就會在不知不覺中被別有用心者竊取。

工作秘密的泄露會使政府機(jī)關(guān)工作遭受損失，帶來不必要的被動;國家秘密的泄露會使國家的安全和利益遭到嚴(yán)重?fù)p害;而泄密者受到降職、降銜的嚴(yán)肅處理，上文中提到的小劉和董教授由于安全意識薄弱，或單位技術(shù)保障不到位，多年政績毀于一旦，實(shí)在是可惜之至。亡羊補(bǔ)牢，新時(shí)代里是悔之晚矣!!!

據(jù)CNCERT/CC監(jiān)測報(bào)告： 2009年4月1日至30日，CNCERT/CC對當(dāng)前流行的木馬程序的活動狀況進(jìn)行了抽樣監(jiān)測，發(fā)現(xiàn)我國大陸地區(qū)18,855個(gè)IP地址對應(yīng)的主機(jī)被其他國家或地區(qū)通過木馬程序秘密控制，比上月的18,738個(gè)增長0.62%，其分布最多的地區(qū)分別為浙江省(9.40%)、北京市(9.05%)和廣東省(8.71%)。境外控制者來自6,400個(gè)IP地址，主要來自美國和我國臺灣，安全形勢還是極為嚴(yán)峻的。

木馬病毒產(chǎn)生的原理

[[20336]]

特洛伊木馬，英文叫做“Trojan horse”，原指古希臘士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。古希臘傳說，特洛伊王子帕里斯訪問希臘，誘走了王后海倫，希臘人因此遠(yuǎn)征特洛伊。圍攻9年后，到第10年，希臘將領(lǐng)奧德修斯獻(xiàn)了一計(jì)，就是把一批勇士埋伏在一匹巨大的木馬腹內(nèi)，放在城外后，佯作退兵。

特洛伊人以為敵兵已退，就把木馬作為戰(zhàn)利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來，打開了城門，希臘將士一擁而入攻下了城池。后來，人們在寫文章時(shí)就常用“特洛伊木馬”這一典故，用來比喻在敵方營壘里埋下伏兵里應(yīng)外合的活動。在Internet上，“木馬”指一類小的應(yīng)用軟件，這個(gè)軟件表面上是一個(gè)郵件的附件、一個(gè)游戲、一張圖片，但其中包含了對使用者造成危害的功能，如：控制用戶的計(jì)算機(jī)系統(tǒng)，泄密，竊取網(wǎng)銀或游戲帳號，有可能造成用戶的系統(tǒng)被破壞甚至癱瘓。

一般的木馬程序都包括客戶端和服務(wù)端兩個(gè)程序，其中客戶端是用于攻擊者遠(yuǎn)程控制植入木馬的機(jī)器，服務(wù)器端程序即是木馬程序;攻擊者要做的第一步是要把木馬的服務(wù)器端程序植入到你的電腦里面。

目前木馬入侵的主要途徑有郵件附件、下載軟件、網(wǎng)頁掛馬、U盤自動執(zhí)行、msn或QQ文件傳送等，然后通過一定的提示故意誤導(dǎo)用戶打開執(zhí)行文件，比如某天你在上網(wǎng)時(shí)，突然msn彈出個(gè)窗口，有個(gè)朋友給你發(fā)了條短消息“KAN WO DE ZHAOPIAN ”(看我的照片)，并隨后發(fā)送一個(gè)zip壓縮文件包，如photo.rar請你接收;你以為是好友發(fā)過來的照片文件，一旦點(diǎn)擊就會中招，木馬已經(jīng)悄悄在你的后臺運(yùn)行，之后向你的msn好友列表大肆濫發(fā)消息傳播，中毒的機(jī)器還會在你的電腦上留有后門，可供黑客遠(yuǎn)程控制。

一般的木馬執(zhí)行文件非常小，大部分都是幾K到幾十K，如果把木馬捆綁到其他正常文件上，你很難發(fā)現(xiàn)，所以，有一些網(wǎng)站提供的軟件下載往往是捆綁了木馬文件的，你執(zhí)行這些下載的文件，也同時(shí)運(yùn)行了木馬。國家計(jì)算機(jī)病毒應(yīng)急處理中心近來通過對互聯(lián)網(wǎng)監(jiān)測發(fā)現(xiàn)，很多計(jì)算機(jī)用戶受到一些惡意木馬程序的威脅。目前，惡意木馬程序有以下幾個(gè)特點(diǎn)：(1)惡意木馬會利用系統(tǒng)漏洞或第三方軟件漏洞進(jìn)行傳播感染，(2)惡意木馬傳播途徑大部分會采用網(wǎng)頁掛馬的形式，(3)惡意木馬具有很強(qiáng)的隱蔽性和破壞力。

典型的“輪渡”木馬，其程序的特征就是：在移動U盤內(nèi)駐存隱藏文件AutoRun.Inf和sys.exe，當(dāng)該移動U盤接入A電腦時(shí)，病毒程序自動運(yùn)行，將A電腦內(nèi)的涉密文檔下載并打包保存在隱藏文件中，當(dāng)該移動U盤插入B電腦時(shí)，就會將從A電腦中下載的文件傳入到B電腦。這樣，如果是移動U盤在內(nèi)網(wǎng)中使用，就有可能造成加密文擋在內(nèi)網(wǎng)不同電腦間的傳播;如果將移動U盤插入外網(wǎng)電腦，加密文襠就可能通過互聯(lián)網(wǎng)，被竊密者遠(yuǎn)程下載。

木馬具有多種特性，典型的有：隱蔽性、自動運(yùn)行性、自動恢復(fù)功能、能自動打開特別的端口、包含具有未公開并且可能產(chǎn)生危險(xiǎn)后果的功能的程序等。我們大家都對它引起注意。

【編輯推薦】

1. 游戲殺手 cf飛天外i掛帶木馬病毒
2. 分析黑客網(wǎng)頁掛馬如何自動化的小竅門
3. 網(wǎng)絡(luò)驚現(xiàn)“3Q大盜”木馬 模仿QQ軟件登錄界面