17攻击性分析和防范措施国家计算机网络应急技术处理协调中心（ＣＮＣＥＲＴ／ＣＣ） 崔 翔 陈明奇窃密型木马近两年，网络犯罪趋向于能够给攻击者带来直接或间接的经济利益，不同于此前以追求纯技术为目的。

随着黑客技术和黑客工具的普及，网络犯罪的技术门槛降低，许多不法分子利用这些技术进行非法牟利。

其中，窃密型木马（Ｔｒｏｊａｎ－ＰＳＷ）是表现尤为突出且对用户影响很大的一类安全威胁。

窃密型木马通过各种各样的方式植入用户电脑，从中搜索自己需要的资料或者直接截取用户输入的信息，记录后通过某种方式发送给攻击者，攻击者利用盗取的资料非法牟利。

窃密型木马使个人用户面临隐私信息泄漏和经济损失的危险，也给银行、证券、金融、电子商务等带来安全隐患，所以有必要重视这类木马的原理和防范措施。

如何植入用户主机相对于蠕虫来说，木马缺乏主动传播性，木马的传播行为一般都有人参与，而且经常利用“社会工程学”的技巧，窃密型木马也不例外，其主要传播方式和途径如下：　１．　利用系统漏洞直接传播用户电脑本身存在漏洞，如操作系统漏洞或者是ＩＥ浏览器漏洞等，都可以被不法分子利用，直接将木马程序复制或者下载到用户电脑并运行。

　２．　利用蠕虫或僵尸网络传播　自２００１年红色代码蠕虫出现以后，很多蠕虫感染用户主机后，会从某些服务器下载木马，对用户主机实施进一步控制。

同样，感染僵尸程序的主机下载木马运行也很常见。

　３．　利用即时聊天工具诱惑传播木马通过发送一段具有诱惑性内容的消息，附带一个链接，诱使用户点击访问。

一旦访问，就会自动将木马程序下载到用户机器并运行。

４．　利用网站、论坛欺骗传播木马程序所有者通常会在一些音乐网站或者知名论坛发布一些虚假消息，欺骗用户说可以获取某种利益，引诱用户使用一些小工具或者访问恶意网站地址，这其中就安放了木马程序，等待用户下载运行。

　５．　利用电子邮件传播木马所有者发送附带木马程序的电子邮件，邮件主题通常比较吸引人，诱使用户浏览附件，从而感染木马。

主要窃取哪些信息经统计，当前的窃密型木马窃取的重点信息包括以下７类信息：　１．　银行帐号类工商银行、交通银行、花旗银行、汇丰银行等国内外知名银行和Ｖｉｓａ、ＭａｓｔｅｒＣａｒｄ等银行卡和信用卡卡号和密码。

　２．　交易帐号类盗取证券或股票交易系统的交易帐号和密码。

　３．　网游帐号类随着网络游戏近几年的飞速发展，游戏玩家越来越多，游戏所制造的网上财富也日益增加，卖出玩家人物角色，或出售玩家高级装备，从而利的交易市场也出现。

因此，玩家的游戏帐号和密码也成为了重要目标。

　４．　网络帐号类通常指一些论坛或者电子邮箱的登陆帐号和密码，窃取这些帐号后，能够获得其中的有价值资源，或者冒充被盗人进热点追踪18行一些非法活动。

　５． 聊天帐号类ＱＱ、ＭＳＮ等著名聊天工具的帐号。

一个好的ＱＱ号码能够在网上卖到很高的价钱，这就是木马窃取聊天工具密码的原动力。

　６． 商业机密类商业竞争激烈，如果能够获得竞争对手的关键商业资料，那么就可能赢得一场艰难的商业战，因此，获取商业机密类信息所“赚”来的利润也是最高的。

　７． 大型软件注册号类窃取某些正版软件的序列号或者某些游戏的ＣＤ－ＫＥＹ。

如何窃取敏感信息上面列举了７类木马试图窃取的主要信息，那么，木马如何窃取这些信息呢？可以将木马窃密方法归类为以下三种。

　１． 监视特殊窗口木马实时地监控ＩＥ等浏览器窗口的标题栏，判断当前窗口是否为相关网上银行、网络游戏等的登录页面。

木马一旦发现当前窗口与关注的页面相符，便开始记录用户在键盘上输入的所有键值，甚至还会拷贝当前屏幕，从中窃取用户网上银行等的账号和密码。

这类木马工作时避开了其他键盘输入的情况，获取目标直指网上银行的登录信息，目的性很强，误判率低。

　２． 搜索重要文件通常重要的信息可能存在几类文件中，比如．ｔｘｔ文本、．ｄｏｃ文档、．ｘｌｓ表格等，木马可以搜索用户主机上可能记录的关键信息的文件，从中获取字符串，并记录在自己的日志文件里。

此外窃取密码的木马针对性比较强，如针对于某一个网络游戏、某一种商业软件，其记录关键信息的位置往往也固定于一些文件之中，木马通过遍历文件，搜索其中的关键字符，也同样能够获取到有用信息。

　３． 查找ｃｏｏｋｉｅ信息用户在登陆一些网页时会产生一些ｃｏｏｋｉｅ信息，其中可能包含了一些像用户名及密码一类的关键信息，木马程序会读取ｃｏｏｋｉｅ文件，从而获得有效信息。

信息回收方式当木马窃取到大量信息后，会在用户电脑上产生记录，随后会通过几种常用的方式发送给攻击者，这个过程称之为信息回收，下面列举几种木马常用的信息回送方式：　１．利用电子邮件（Ｅ－Ｍａｉｌ）回收这是目前最常见的信息回收方式。

木马将获得的信息以电子邮件的方式发送给攻击者，这种木马自身具备邮件客户端的功能。

　２．利用网站（Ｗｅｂ）回收木马使用ＧＥＴ或ＰＯＳＴ命令将获得信息发送给ＨＴＴＰ服务器，攻击者从该服务器上取走信息。

　３．　利用ＦＴＰ服务器回收木马将获得信息发送给ＦＴＰ服务器，攻击者从该服务器上取走信息。

　４．　ＩＲＣ服务器木马连接预先指定的ＩＲＣ服务器，使用ＤＣＣ命令发送获得的信息，攻击者登陆该服务器即可收到信息。

　５．　后门功能木马在感染的系统上开启一个服务，等待用户自行下载获得的信息。

这种方法并不常用。

窃密型木马的防范措施窃密型木马使用户面临很大经济损失、隐私泄漏等风险，因此，能否成功防范窃密型木马直接涉及到人们的切身利益，这里给出几点防范措施和建议。

　１．　使用键盘加密保护技术使用键盘加密保护技术可以保护用户的按键信息不被木马的键盘记录功能所获取，从而在一定程度上防范那些依赖键盘记录获取信息的木马。

使用（乱序）软键盘曾经是防范键盘记录木马的一种方法。

但需要说明的是现在改进了的木马会截取屏幕和鼠标位置来猜测用户点击的键，所以这种方法也不是安全的。

　２．　采用提供安全认证的网络服务这些安全认证技术包括：（１）数字证书与钥匙盘。

这是目前多数网上银行采用的安全方案。

用户在申请开通网上银行时，银行会根据用户帐户资料生成一个本地证书，使用ＵＳＢ密钥盘作为载体。

使用ＵＳＢ盘时需要安装银行提供的密钥盘驱动来读取证书，它的原理是用本地的证书加证书密码来实现防盗，缺少证书或密码都会失效。

（２）手机通知。

这是一种简单但有效的方式。

当用户登陆成功后或者开始交易之前，向用户预先指定的手机发送包含激活码的短信，用户输入该激活码后才能进行下一步操作。

这样，即使攻击者利用木马获得了帐户和密码，因为不能获得激活码，所以无法进行交易。

（３）动态口令。

动态口令是一种动态密码技（下转４４页）热点追踪44含了大量的　“子作品”，如电影、音乐、戏剧等。

如果学生能完整地观看或欣赏某个子作品，也会对版权人的市场利益形成冲击，因此，学生们的观看或欣赏只能是与授课内容相关的作品的部分内容或片段。

第三，许可使用的身份限定。

传统的课堂教学有在册的学生，也有不在册的“旁听生”，因为旁听生的人数不多，问题也不突出。

但远程教育不同，如果对学生的身份不加限定，享受“免费午餐”的旁听生就会占绝对优势。

这样，不仅版权人的潜在市场利益受损，教学机构的投资收益也会受损。

因此，必须审查学生的身份，可采用注册使用的办法。

第四，许可使用的非营利性限定。

在远程教育领域，不少教学机构是营利性的，如前一个时期像雨后春笋般涌现的“网络学院”就是借远程教育之名（上接１８页）术。

就是客户使用不同的一次性密码，进行身份认证和交易确认。

而且每个密码只可以使用一次。

不容易被攻击者发现规律和进行破解。

用户的密码存放在一张刮刮卡上，每张刮刮卡覆盖几十个不同的密码。

客户在登陆网上银行后，需要输入交易密码时，只要按顺序输入刮刮卡上的密码就行了。

当然，这些措施并非用户单方面就可以做到的，还需要相关服务提供商的支持。

３．用户应加强安全防范意识不要在网吧等公共场所输入自己的密码；不要使用搜索软件去搜索网上银行的网址；也不要使用接收到的邮件中的链接访问网上银行的网站。

加强防范意识并不能完全保证安全，但可以大大提高安全性，将危害降至最低。

常见的安全防范误区因为网络安全技术的复杂性和不断更新，绝大多数用户很难正确判断是否存在窃密性木马的威胁。

有时用户认为非常安全的操作，也可能存在风险，下面列举一些常见的安全认识误区：１．好友通过ＱＱ／ＭＳＮ／Ｅ－Ｍａｉｌ发送过来的文件，一定是安全的。

　不一定。

用户感染的恶意代码会在用户不知情的情况下向搜索到的联系方式发送恶意消息。

所以，需要和好友确认后才能认为是无害的信息。

牟利的产物。

对这类机构，只能采取对版权作品的授权使用，即应取得版权人的同意，并向版权人支付使用费。

当然，也并非所有的从事远程教育的机构都是营利性的，我国政府对远程教育的要求也是“非营利性”的。

１９９９年１月１３日，由国务院批转的国家教育部《面向２１世纪教育振兴行动计划》就提出了依托远程教育开设高质量的网络课程是大学教育的任务之一，这种网上授课也会收取一定的教学成本费用，但不是以牟利为目的，因而是属于非营利性的；毫无疑义，农村九年义务阶段乃至高中阶段的网络远程教育也应该是非营利性的。

可见，远程教育的权利限制问题比较复杂，各国采取的态度也不尽一致。

在这些权利限制中，“法定许可”在网络传播中的适用是备受关注和颇有争议的问题。

限于篇幅，这里暂不作探讨。

２．在浏览器中直接输入银行网址，肯定不会访问虚假网站。

不一定。

木马可能修改了本机的配置文件，使得浏览器在解析正确的银行网址时，却返回了虚假的地址，从而访问到虚假网站。

３．我的防病毒软件已经升级为最新，肯定不会存在恶意代码了。

不一定，有很多恶意代码是防病毒软件不识别的，或者是经过一段时间才能识别的。

４．我使用的数字证书，所以使用网上银行是足够安全的。

不一定。

存在窃取数字证书的木马。

这种木马窃取存在于用户硬盘上的数字证书文件，然后假冒用户登陆。

但是，如果数字证书存在于钥匙盘中，那么应该是足够安全的，除非钥匙盘也丢失，但这是小概率事件。

结束语本文主要介绍了窃密型木马的攻击原理和防范措施，这类木马的存在已经有几年的时间了，所以是现实且广泛存在的威胁，相关的案例也有很多，需要引起用户的警惕和注意。

最后，还要提醒的是，窃密型木马还只是用户面临的众多安全威胁中的一种，网络钓鱼（Ｐｈｉｓｈｉｎｇ）、间谍软件（Ｓｐｙｗａｒｅ）以及Ｐｈａｒｍｉｎｇ等攻击都会使用户面临经济损失和信息泄漏的风险。

防范以上各种网络安全威胁，需要多方面的努力，更需要整体的合作。

百家争鸣。