特洛伊木馬 (電腦)
特洛伊木馬(Trojan Horse)簡稱木馬,在電腦領域中指的是一種後門程式,是駭客用來盜取其他使用者的個人訊息,甚至是遠端控制對方的電子裝置而加密製作,然後通過傳播或者騙取目標執行該程式,以達到盜取密碼等各種資料資料等目的。和病毒相似,木馬程式有很強的隱秘性,會隨著作業系統啟動而啟動。
名字由來
「木馬」這一名稱來源於希臘神話特洛伊戰爭的特洛伊木馬。攻城的希臘聯軍佯裝撤退後留下一隻木馬,特洛伊人將其當作戰利品帶回城內。當特洛伊人為勝利而慶祝時,從木馬中出來了一隊希臘軍隊,他們悄悄打開城門,放進了城外的軍隊,最終攻克了特洛伊城。電腦中所說的木馬與病毒一樣也是一種有害的程式,其特徵與特洛伊木馬一樣具有偽裝性,表面上沒有危害、甚至還附有使用者需要的功能,卻會在使用者不經意間,對使用者的電腦系統產生破壞或竊取資料,特別是使用者的各種帳戶及口令等重要且需要保密的資訊,甚至控制使用者的電腦系統。
原理
一個完整的特洛伊木馬套裝程式包含兩部分:伺服器端(伺服器部分)和使用者端(控制器部分)。植入對方電腦的是伺服器端,而駭客正是利用使用者端進入運行了伺服器端的電腦。運行了木馬程式的伺服器端以後,會產生一個有著容易迷惑使用者的名稱的進程,暗中打開埠,向指定地點傳送資料(如網路遊戲的密碼,即時通訊軟體密碼和使用者上網密碼等),駭客甚至可以利用這些打開的埠進入電腦系統。
特洛伊木馬程式不能自動操作, 一個特洛伊木馬程式是包含或者安裝一個存心不良的程式,它可能看起來是有用或者有趣的計畫(或者至少無害)對一不懷疑的使用者來說,但是實際上有害。 特洛伊木馬不會自動執行,它是暗含在某些使用者感興趣的文件中,使用者下載時附帶的。當使用者執行文件程式時,特洛伊木馬才會運行,資訊或文件才會被破壞和遺失。 特洛伊木馬和後門不一樣,後門指隱藏在程式中的秘密功能,通常是程式設計者為了能在日後隨意進入系統而設定的。
特洛伊木馬分為兩種,「Universal」和「Transitive」,「Universal」是可以控制,「Transitive」是無法控制,刻死的操作。
特徵
特洛伊木馬不經電腦使用者准許就可獲得電腦的使用權。程式容量十分輕小,執行時不會浪費太多資源,因此沒有使用防毒軟體是難以發覺的;執行時很難阻止它的行動,執行後,立刻自動登錄在系統啟動區,之後每次在Windows載入時自動執行;或立刻自動變更檔名,甚至隱形;或馬上自動複製到其他資料夾中,執行連使用者本身都無法執行的動作;或瀏覽器自動連入奇怪或特定的網頁。
一旦安裝,木馬程式可能會執行一系列惡意行為。許多木馬傾向於聯絡一個或多個命令與控制(C2)伺服器並等待指令。由於個別的木馬通常使用一組特定的埠進行通訊,檢測木馬可能相對簡單。此外,其他惡意軟體可能會「接管」該木馬,將其作為惡意行動的代理。[1]
發展
木馬程式技術發展可以說非常迅速。主要是有些年輕人出於好奇,或是急於顯示自己實力,不斷改進木馬程式的編寫。至今木馬程式已經經歷六代的改進:
- 第一代,是最原始的木馬程式。主要是簡單的密碼竊取,通過電子郵件傳送資訊等,具備木馬最基本的功能。
- 第二代,在技術上有了很大的進步。
- 第三代,主要改進在資料傳遞技術方面,出現ICMP等類型的木馬,利用畸形報文傳遞資料,增加防毒軟體查殺辨識的難度。
- 第五代,驅動級木馬。驅動級木馬多數都使用大量的Rootkit技術來達到在深度隱藏的效果,並深入到核心空間的,感染後針對防毒軟體和網路防火牆進行攻擊,可將系統SSDT初始化,導致防毒防火牆失去效應。有的驅動級木馬可駐留BIOS,並且很難查殺。
中毒症狀
木馬的植入通常是利用作業系統的漏洞,繞過對方的防禦措施(如防火牆)。中了特洛伊木馬程式的電腦,因為資源被大量佔用,速度會減慢,莫名當機,且使用者資訊可能會被竊取,導致資料外洩等情況發生。
解決辦法
特洛伊木馬大部分可以被防毒軟體辨識清除。但很多時候,需要使用者去手動清除某些檔案,登錄檔項等。 不具有破壞防火牆功能的木馬可以被防火牆攔截。
著名木馬
參見
- ^ Crapanzano, Jamie. Deconstructing SubSeven, the Trojan Horse of Choice (報告). SANS Institute. 2003 [2021-05-10]. (原始內容存檔於2010-03-30).