木马病毒引起的安全事件现象
以下两起案例,是近期发生的真实泄密事件,都属于典型的由木马病毒造成的无意识泄密事件。
小刘是某机关一名干部,平时好学上进,表现突出,被组织上定为政工干部培养苗子。2006年经组织推荐,小刘被送政工班培训。去学习前,小刘特意将自己平时在机关撰写的计划、总结等涉密资料存入U盘,准备在学习期间进行学术交流。学习期间,小刘多次上网查阅资料,并用该U盘下载参考资料。在此过程中,“轮渡”木马病毒自动驻存于U盘中,将小刘存储的涉密资料悉数“盗”入国际互联网。事后查明,小刘泄密的资料达32份,他因此受到降职、降衔的严肃处理。
董教授,是某大学知名教授,平时工作兢兢业业,经常加班加点在家备课。由于需要查阅资料,他家中的电脑接入了国际互联网。董教授白天在办公室办公电脑上工作,晚上在家用个人电脑工作,经常用U盘将未完成的工作内容在两个电脑间相互拷贝。自2005年以来,董教授办公电脑内的二百多份文件资料竟鬼使神差般地“跑”进了互联网,造成重大泄密。经上级保密委员会审查鉴定,涉密文件资料达三十多份,董教授受到降职降衔、降职称的严肃处理。
由于在日常工作中,部分公职人员想在因特网上进行数据查询,贪图方便,该职员使用U盘在两个不同的电脑间拷贝文件,或者就在涉密网终端上通过拨号、无线上网等的方式,访问了因特网。该职员在浏览网页时,访问了某个网站,而这个网站正好被黑客攻击了,网页被挂马。木马利用“自动下载技术”,让该职员在未察觉的情况下潜入了用户电脑、移动硬盘、U盘。
木马病毒引发的危害
目前,随着新技术的发展,移动存储介质的种类日趋多样,软盘、U盘、移动硬盘、MP3、MP4、数码相机、记忆棒等在工作中的应用十分广泛,移动存储设备在为我们的工作带来便利的同时,也带来了不容忽视的信息安全保密隐患,大大增加了保密管理的难度。
特别是U盘,越来越多地出现在我们的工作中。由于其便于携带、方便存取,不少人用它私自下载和保存涉密文件,非法拷贝现象难以控制;还有的人将工作U盘带回家中,甚至带着涉密的U盘逛街、访友,一旦丢失,损失巨大。除了这些泄密隐患外,U盘一旦被植入病毒,特别是木马病毒后,如果接入涉密计算机,我们的涉密文件就会在不知不觉中被别有用心者窃取。
工作秘密的泄露会使政府机关工作遭受损失,带来不必要的被动;国家秘密的泄露会使国家的安全和利益遭到严重损害;而泄密者受到降职、降衔的严肃处理,上文中提到的小刘和董教授由于安全意识薄弱,或单位技术保障不到位,多年政绩毁于一旦,实在是可惜之至。亡羊补牢,新时代里是悔之晚矣!!!
据CNCERT/CC监测报告: 2009年4月1日至30日,CNCERT/CC对当前流行的木马程序的活动状况进行了抽样监测,发现我国大陆地区18,855个IP地址对应的主机被其他国家或地区通过木马程序秘密控制,比上月的18,738个增长0.62%,其分布最多的地区分别为浙江省(9.40%)、北京市(9.05%)和广东省(8.71%)。境外控制者来自6,400个IP地址,主要来自美国和我国台湾,安全形势还是极为严峻的。
木马病毒产生的原理
特洛伊木马,英文叫做“Trojan horse”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。
特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。后来,人们在写文章时就常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。在Internet上,“木马”指一类小的应用软件,这个软件表面上是一个邮件的附件、一个游戏、一张图片,但其中包含了对使用者造成危害的功能,如:控制用户的计算机系统,泄密,窃取网银或游戏帐号,有可能造成用户的系统被破坏甚至瘫痪。
一般的木马程序都包括客户端和服务端两个程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序;攻击者要做的第一步是要把木马的服务器端程序植入到你的电脑里面。
目前木马入侵的主要途径有邮件附件、下载软件、网页挂马、U盘自动执行、msn或QQ文件传送等,然后通过一定的提示故意误导用户打开执行文件,比如某天你在上网时,突然msn弹出个窗口,有个朋友给你发了条短消息“KAN WO DE ZHAOPIAN ”(看我的照片),并随后发送一个zip压缩文件包,如photo.rar请你接收;你以为是好友发过来的照片文件,一旦点击就会中招,木马已经悄悄在你的后台运行,之后向你的msn好友列表大肆滥发消息传播,中毒的机器还会在你的电脑上留有后门,可供黑客远程控制。
一般的木马执行文件非常小,大部分都是几K到几十K,如果把木马捆绑到其他正常文件上,你很难发现,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,你执行这些下载的文件,也同时运行了木马。国家计算机病毒应急处理中心近来通过对互联网监测发现,很多计算机用户受到一些恶意木马程序的威胁。目前,恶意木马程序有以下几个特点:(1)恶意木马会利用系统漏洞或第三方软件漏洞进行传播感染,(2)恶意木马传播途径大部分会采用网页挂马的形式,(3)恶意木马具有很强的隐蔽性和破坏力。
典型的“轮渡”木马,其程序的特征就是:在移动U盘内驻存隐藏文件AutoRun.Inf和sys.exe,当该移动U盘接入A电脑时,病毒程序自动运行,将A电脑内的涉密文档下载并打包保存在隐藏文件中,当该移动U盘插入B电脑时,就会将从A电脑中下载的文件传入到B电脑。这样,如果是移动U盘在内网中使用,就有可能造成加密文挡在内网不同电脑间的传播;如果将移动U盘插入外网电脑,加密文裆就可能通过互联网,被窃密者远程下载。
木马具有多种特性,典型的有:隐蔽性、自动运行性、自动恢复功能、能自动打开特别的端口、包含具有未公开并且可能产生危险后果的功能的程序等。我们大家都对它引起注意。
【编辑推荐】
