特洛伊木马的来源

新闻组是特洛伊木马（和病毒）传播的一个主要途径，尤其是那些进行warez（非法软件）和色情资料交换的新闻组。

AOLGOLD特洛伊木马就是通过新闻组和邮件传播的。该软件声称是接入AOL （America Onling，美国在线）网站软件的增强版本。当解压缩该软件会得到两个文件：INSTALL.EXE和README.TXT。执行INSTALL.EXE会得到18个文件。执行一个名为DOOMDAY.EXE的程序时，INSTALL.BAT文件会删除C盘上的所有文件。

参考  有关这个特洛伊木马的详细信息可以参考http://www.emergency.com/aolgold.htm或http://ciac.llnl.gov/ciac/bulletins/g-03.shtml.

特洛伊木马经常伪装成游戏、搞笑程序、屏保等，经常通过邮件交换的软件，尤其在系统保护策略不健全的情况下获得成功。如果一个软件包含一个侵犯隐私或破坏型特洛伊木马，这个木马能过有效负载（例如时间炸弹或逻辑炸弹）很容易被不知情的用户传播出去。

AOL用户经常遇到这些特洛伊木马。

1997年4月，一伙人开发出一个名为AOL4FREE.COM的特洛伊木马（不要同AOL4FREE的病毒警告邮件相混淆）。特洛伊木马声称可以免费访问AOL，但是它却损坏了受感染机器的硬盘。具体可以参见http://ciac.llnl.gov/ciac/bulletins/h-47a.shtml.

 实际上，这只是利用计算机进行破坏的事件中较为温和的一种。对于一些新闻组新手和不了解IRC的用户，由于它们并不清楚自己正在使用的系统，遭到病毒警告恶作剧或是破坏型程序都是情理中的事情。

当用户系统安装了roorkit和特洛伊木马后，尤其是入侵者得到了系统管理员的权限后就很容易受到直接攻击。

发现特洛伊木马的周期

AOL的用户经常会发现感染了特洛伊木马，这些用户使用AOL提供的服务但无需成为计算机高手。许多使用因特网的用户不需要了解网络协议、Gopher原理、Telnet、Archie等。AOL更关注提供友好的服务而不是让用户学习网络的基本知识。特洛伊木马能常是攻击那些对计算机知之甚少的用户。这点很重要，因为Black Hats认为不了解技术的用户就应该受到攻击。他们的理论是“如果AOL的用户不知道如何保护自己，那么就应该为自己的行为负责”。

在企业网络中，特洛伊木马是多用户系统的大敌。即便是发现了特洛伊木马，他们还是会在Windows注册表里留下痕迹。特洛伊木马通常是没有编译的代码，因此这些代码很难被人读懂。没有合适的编译软件，普通用户无法了解这些二进制代码。使用文件阅读软件是没有用的。惟一能识别的信息就是版权或错误信息，要不就是STDOUT的输出结果。在图形化的环境中，识别字符串是没有太大作有的。反编译这些代码不是一件容易的事情。而且这些代码对自动分析不是很敏感。

注意  特洛伊木马不仅以编译好的二进制形式存在，其他形式的代码同样容易包含木马，如批处理文件、一些shell脚本、Perl、JavaScript、Tcl等。脚本语言不适合编写特洛伊木马因为这类语言的可阅读性强，这会加大被识别的概率。但是现实生活中，用户经常运行一些没有检查过的程序。尽管LoveLetter病毒的明文代码显示出它的意图，还是有很多人受到攻击。但是当软件包含大量的子目录时，找到特洛伊木马是很困难的。即使用户使用一些工具，也经常会忽略掉DELTREE C:\或rm-rf等字眼。

通常特洛伊木马不公开自己的意图。同病毒一样，它们都伪装成合法程序。因此用户不要期望通过查看现运行软件来发现特洛伊木马。

发现特洛伊木马是需要经验的。对自己系统了解很少的用户很难发现问题。许多有经验的用户不可能检测复杂的系统结构。即便是他们这样做了，发现的可能性也很少。通过反编译技术是一件困难并耗时的工作。

18.4  特洛伊木马的危害

特洛伊木马对用户造成的危害有大有小，发现特洛伊木马不是很容易，主要原因有：

·使用启发式检测方法很难发现新出现的特洛伊木马（除非使用地毯式启发检测方法检查是否有特洛伊木马改运了系统文件）。但这个方法不是绝对有效的，很多特洛伊木马已经考虑到这一点。

·许多情况下，特洛伊木马采用二进制形式不易阅读。但是只有静态代码才容易检测。也就是说，当了解一个木马的原理后，通过搜索特定的字符串就容易检查。特洛伊木马的一个特点就是不能自我复制。它的传播只有通过用户主动参与。对那些编写特洛伊木马的人来说使用多态手段避免被发现是不实际的方法，因为没有这样的需求。

但是，不删除特洛伊木马会对系统产生很大的危害。一个特洛伊木马在被发现前可能已经存在了向个星期甚至几个月。黑客已经根据自己的要求设置好了系统。即便是发现并删除了特洛伊木马，仍然可以对系统进行攻击。

如何检测特洛伊木马

如果使用静态搜索方法可以很容易地发现特洛伊木马。杀毒软件就是使用这样的方法检测病毒的。但是，检测一个新特洛伊木马是很困难的。如果用户采取了一定的保护策略（至少关心安全问题），从理论上讲也不是不可能。

现在许多多用户操作系统中使用的检测方法源于一种称为目标一致比较的基本方法。这些方法其实只是一些简单的问题，如“系统同我离开时一样吗？”。其原理是：目标就是系统中所有内容，如文件和目录。

比较的过程就是针对上一次使用系统（定为安全状态）后记录一些必要信息然后同现在相比较来发现改动和变化。