特洛伊木馬屠城記:暗藏危機的木馬病毒

士兵潛藏在木馬之中,以便當木馬成功進入特洛伊城時,進行內外夾攻突擊,這便是著名的特洛伊木馬屠城記,而在多年後的今日,大家常常聽到「木馬程式」,其實便是以當年的特洛伊木馬屠城記而命名。

木馬程式的概念
木馬程式(Trojan Horse)通過將惡意程式藏在有用及正常的軟件當中,然後跟隨軟件傳送到目標系統,誘使用戶執行檔案後,從而將隱藏在軟件之中的惡意程式一併執行,情況就有如當年士兵通過木馬進行掩護,待入城後從木馬之中跳出來進行攻擊的原理一樣,所以現今的木馬程式,其命名正反映出病毒本身的行為。

入侵過程
一般木馬程式大致上可分為客户端以及伺服器端,駭客會先把客户端的程式透過隱藏在正常檔案、軟件背後,從而向目標發送有關的軟件,希望最終能誘使目標執行該軟件而達致「中毒」;而伺服器端則主要安裝在駭客一方的電腦之中,其作用就是能與客户端進行連接,以便進行各種的指令發送及對目標系統作更佳的操控。由於木馬程式的體積十分細小,一般只有幾十 kb,因此,當這些程式植入了正常的軟件後,用户其實很難發現。現時在網絡上有一部份免費軟件,其本身便捆挷了這些木馬程式,當用户執行了這些軟件時,其實亦同時間執行了木馬程式。

除了通過附在軟件之中的形式進行傳播,木馬程式亦可通過一些軟件上的漏洞,例如最常見的瀏覽器漏洞,從而入侵目標用戶電腦。為了安全起見,現時仍可用作進行入侵的漏洞我們不會提及,不過以往常見可用來進行木馬入侵的漏洞有:Script 上的某些錯誤編寫、ActiveX、ASP、CGI 等等。
另外,駭客亦可直接針對網頁伺服器進行入侵,當成功入侵伺服器以後,便可直接於網頁中植入相關的惡意程式,並引導用戶下載木馬程式及執行,從而達致攻撃的效果,例如以往便可通過 IIS 之中的某些漏洞進行。

木馬植入系統後的行為
當木馬成功植入目標系統並執行後,一般會先將目標電腦的資料,例如是 IP、Port 狀態、系統資訊、密碼等資料傳送到駭客端,以便駭客完成入侵工作;而駭客則可通過木馬程式的伺服器端即時遙控遠端(受害人)的系統,從而進一步控制/更改目標系統的權限、一般設定、系統機碼以及當中的敏感資訊等。

木馬其實簡單來說就是一個簡化版的 Remote Control 的工具,而透過木馬程式,駭客便可隨意的控制被入侵一方的電腦系統,繼而作進一步的工作;由於在一般情況下,木馬本身在編寫時都會刻意研究可行的隱藏性,所以即使是資安專家,要從系統之中找出一隻木馬其實亦非易事。因此各位用戶必須隨時作好防禦措施,例如 安裝有效的防毒軟件,這樣才能夠有效地防止被木馬程式入侵而導致的種種危機。