(这条文章已经被阅读了 75 次) 时间:2000-12-18 11:24:03 来源:wuhanman (wuhanman) 原创-IT
微软这回可不是站点被黑了,而是他们总部的局域网被黑掉了。据说还被黑客拿到了一些关键资料。但是这次事件的罪魁祸首竟是一个名不见经传的木马–QAZ特洛伊木马(“QAZ特洛伊木马”病毒是在今年七月中旬被正式确认的,其初发地点在中国。只要人们打开带有相关程序附件的电子邮件,它就会伺机而入。随后,它便用自身代码取替系统中的记事本文本编辑器,然后再侵入另一个共享的硬盘,将其IP地址发送到一个据称是俄罗斯的电子邮件地址上等候回复。)
由此可见,木马虽然古老,但是它的危害性还是相当大的。就连微软都防不慎防,个人用户更加要注意了。谁叫Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。而且木马都会很注意自己的端口,如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势(netspy是1243….)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露; 而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)。
后门预告
不过最近还出现的一个后门–黑洞,作者说这是个测试板,所以我无法写一些详细的资料出来。但有一些可以说一下:
它的连接端口是:7777
启动位置是:WINDOWSWIN32VXD.EXE
关联文件是:资源管理器.
还有他修改的注册表文件在SYSTEM.INI [BOOT]里面.它的启动位置和冰河不一样,没在RUN和RUNSERVER里面
真是青出于蓝,胜于蓝呀。特洛伊软件的发展趋势,正像多极化发展。使人更能难以理解,更难以防范。不过最重要的还是个人用户自己要有防范之心。
1.不使用不明软件,特别是.exe的无图标文件。
2.定期检查,备份注册表,查看可疑项,及时del。
3.经常检查系统启动文件,发现可疑立即del,如果删不掉,可用专用软件查看这个文件的关联。
4.安装病毒防火墙(用以检查已发现的后门),安装防火墙(防止恶意连接,关闭不必要端口)。
只要做到这四点,我想后门软件也就基本无用武之地了。大家就可以安心在网络上遨游,不再担惊受怕。。大家如果发现什么新的后门,也别忘了给我mail([email protected])呀。