当心希腊人的礼物 解读特洛伊木马(1)

记得历史上特洛伊木马的故事吗？希腊人围困特洛伊城长达九年的时间。然后在某一天早上，他们似乎是退却了。希腊人站在城墙上望去，看到的不是希腊军队，而是一件礼物——一匹巨大的木马。由于马是特洛伊人的圣物，所以他们费力地将木马拖入城内，没有发现隐藏在其中的希腊士兵。希腊人进入特洛伊城后，耐心地等待黄昏的来临，然后钻出马外。他们杀死了看守城门的士兵，并打开了城门。最后，特洛伊城陷落了，这正是一句著名谚语“当心希腊人的礼物”的由来。
这只是一个历史故事吗？并不完全是。除非你小心谨慎，否则木马仍有可能造成您的网络的崩溃。一种名为“Brown Orifice HTTPD”（BOH）的新木马，以及另外几种名字恶心的木马——比如Back Orifice（BO）和Deep Throat——开始变得为世人所知。这种程序的危险性在于，一旦进入您的系统的“城墙”，它们就会绕过您的Firebox的检测——除非您在第一时间禁止它们的安装。我们将建立一个秘密连接（尤其是这种连接可以依附在另一种许可的协议上面）的能力称为tunneling（隧道化）。
木马：精心的伪装
与历史上的特洛伊木马相似，大多数木马软件都能对自己进行精心的伪装。一个臭名昭著的例子是NetBus（www.netbus.org），它是一个在Windows NT上使用的远程系统管理工具。是的，NetBus确实提供了远程管理功能，但它的早期版本为知道主机密码（master password）的任何人都额外提供了管理员权限（只需在密码和任何命令后面附加;1）。
Back Orifice（BO）起初只能在Windows 95/98系统上工作，现在也移植到了NT平台。BO隐藏了原本不该提供给普通用户的能力。一个聪明的黑客可以使用BO来弹出或关闭别人的CD-ROM托盘，或者打开麦克风，甚至打开一个摄像头，在远程进行收听和/或监视。BO允许黑客远程运行程序、上传/下载文件、和用户交谈以及关闭计算机。
您或许会问，谁这么笨，会在他自己的计算机上安装如此危险的东西呢？这其实并不怪用户。看见木马时，用户一般看不到它的本来面目。有许多途径都能够传播木马。例如，木马可能成为一个病毒的一部分，甚至成为另一个程序的一部分。一个名为BO Sniffer的程序声称能检查系统中的BO，然后告诉您系统中没有BO，但它实际上会安装并运行BO。一个游戏程序（Bopper）也能在您启动游戏的时候安装BO。
WatchGuard经常向LiveSecurity订户发送安全警告，提醒大家留意排名前十的、处于“野生形态”的病毒和木马。“野生形态”意味着病毒和木马软件不仅在实验室中发现，还在人们的办公和家用电脑中发现。木马所造成的风险是实际存在的，而非只是理论上的东西。正如这些报告所指出的，如果您运行安装了最新更新的病毒扫描软件，那么应该能检测到已知的病毒和木马版本。

最脆弱的地方：城市“大门”
Microsoft产品在木马面前尤其脆弱。Microsoft于过去两年发布了大量警报，它们涉及Internet Explorer、Outlook以及Outlook Express的多处安全漏洞。利用这些漏洞，远程攻击者能在受害者的系统上执行恶意程序。换言之，用户仅仅访问一下网页或者接收一下电子邮件，就可能在不知不觉间下载一个恶意程序，允许远程攻击者在用户的系统上执行指令。
针对Windows 9x和NT系统，存在着大量木马程序。每天都会出现新的木马。及时更新病毒扫描软件，有助于维持一个无木马的系统。除此之外，您还可以采取其他对策：
§使用netstat程序（NT和UNIX系统自带）来列出当前打开的端口地址；检查以前没有见过或者无法辨识的新服务。
§在Windows 9x、NT和2000系统上，大多数木马程序都会在安装时修改一个注册表项。在Run和RunService项中（具体位于注册表的Start\Run\type "regedit"\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion文件夹中），包含了每次电脑开机时会运行的一系列程序。有的程序是固定在此处列出的（其中一部分由Microsoft安装，另一部分由其他厂商安装，其中包括WatchGuard）。在这些注册表项中，请注意来路不明的新值。木马甚至可能利用RunOnce项，或者像system.ini这样的文件。
§Lsof是一个有用的工具，它能将一个开放的端口同一个服务关联起来（在Unix中，使用lsof -i tcp:port或者udp:port）。Lsof在许多UNIX系统上都是自带的；另外，只需低廉的费用，就可以获得在Windows NT和2000系统中使用的类似程序（或者免费获取，具体参见本文最后的“参考资源”）。
虽然Microsoft软件的bug平均一周就会被发现一个，但大多数bug都无法利用来执行代码（通常，只能利用这些bug读取文件或者使软件崩溃）。无论如何，您最好每次在Microsoft出公告的时候安装最新的Microsoft更新，或者避免使用Microsoft软件来访问Web或者读取电子邮件。不过，即使其他厂商的产品，目前也暴露出了许多脆弱性。