网络安全小议——我的一次“木马”经历

在家使用电子邮件，虽然比在网吧方便，但安全方面就要多多注意一些。经常更新自己的杀毒软件可以免受电子邮件病毒的侵扰，毕竟一般来说，电子邮件病毒都是先在国外传播，国内用户一般不会和这类病毒发生“第一次亲密接触”（但如果不升级杀毒软件，亲密接触还是免不了的）。可是有些时候，就要自己多加注意了，否则离“特洛伊木马”也就不远了。

我先介绍一下我本人的一次木马经历。一次我收到一个莫名其妙的家伙（事后得知是个已经被封的专门骚扰别人的帐号，从他还可以发送邮件来看，就可见其还是个高手）发来的邮件，内容是宣传自己的网站（那个域名也被有关部门转到其它网站去了）。附件里有一个几十K大的叫做“happytoyou.exe”的小程序。一般说来，基于windows的应用程序很少有几十K这么小的，因为windows的GUI（Graphic User Interface，图形用户介面）代码就不小。我也是一时鬼迷心窍，斗胆运行了它（好孩子可不要学我哟）；结果是，什·么·都·没·有·发·生。注意！这就证明了这个东西肯定是木马，不是病毒就是后门！我立刻为自己的愚蠢行为后悔不迭。没办法，死马当作活马医吧！

首先是要确认究竟有没有可疑文件驻留内存。我用的是Win98，没有全面的任务管理器（ME及其以后的版本才有）；Ctrl+Alt+Del，没有任何异常。没办法，只好用第三方的进程管理器软件了。我要做的只是确认，所以FPE2000就够了（笑……没想到吧！FPE是老牌游戏修改器，在FPE2000中可以查看当前进程。不过FPE2001里就不行了），果然发现了一个“angle.exe”。接下来，我打开“系统配置实用程序”（开始->运行->msconfig），在“启动”标签页中找到了叫“angel”的一项，所在地为“angel.exe”。这才放下心，还是比较初级的嘛！果然在c:\windows\system里找到了这个happy.exe。删除它？“不能删除文件：指定文件正在被Windows使用”；在msconfig里改？重启之后发现没用，这是有道理的，这个程序自身肯定在监视注册表。不过嘛，呵呵……我阴险的一笑，来了个“重新启动计算机并切换到MS-DOS方式”。用启动盘也可以，但是谅它一个几十K的小程序，不会是DOS/Windows两栖动物。cd\windows\system（切换目录）再attrib -s -h -r angel.exe（去掉系统/隐藏/只读属性）最后del angel.exe（删除），回到windows在msconfig里把angel去掉（直接更改注册表则更为彻底，不过没必要），重启，开FPE2000测试，果然没了那个“小天使”。不过没什么得意的，还是总结教训要紧！

到现在为止我也不知道它究竟是个什么东西（不过我推测，可能是一个打开端口以便远端控制的后门），但是应该指出这个木马还远远谈不上“狡猾”。首先就是上文提过的大小问题和打开它根本没什么反应，其次，连FPE这种不专业的东西都可以看见它，可见其根本没有隐藏自身进程的机制。而且在msconfig里都能找到它的踪迹，我想这可能只是个“木马测试版”！如果它把自己伪装成一个flash动画文件（按，我一直在担心这种东西，最近好像真成了现实。目前的flash病毒仅能破坏flash stand-alone player，但早晚会变得很可怕！.swf没有问题，.exe动画大家最好提高警惕，勿谓言之不预也）……所以我的建议是，只要是陌生人发来的可执行文件，一律不要看，不管大小！就算是真正的可执行文件都可能成为“毒源”，更何况是别人发来的呢？至于熟人发来的，看你们的熟悉程度；可疑的话最好问问他（她），因为可能是病毒自动发送的邮件。

网络时代，安全第一。中了后门被人家远端控制格式化硬盘的@#$%不是没有（又按，插一句不相干的话点缀点缀！大家直到用@#$%做讳饰的用法来自何处吗？很多人都认为，这是网络文化的产物；但其实和“冬冬”（东西）、“铁”（钱）一样，它的来源是游戏界！和那两例不同的是，@#$%不是编辑的笔误，而是游戏“最终幻想7”中Barret、Cid这种人的口头禅。这么说并非没有根据，想想最终幻想7是几几年出的？而阁下什么时候才上的网呢？……扯远了，回到正题），他们不是电脑水平不高，只是警惕性不够罢了。所以奉劝大家一定要小心谨慎，提高警惕不是错！

附注：

可能有人会奇怪，我的电子邮件地址是如何被不相干的人得知的呢？难道邮件服务提供商的承诺不可信吗？我的看法是，你永远也不可能知道真正的答案。服务提供商肯定会发送一些广告邮件（这是不可避免的，也是合情合理的，除非你是收费用户），但他们绝不是答案的全部。且不说神秘莫测的黑客，单是我知道的，就有一种专门分析论坛信息，提炼电子邮件地址的软件。而这种电子邮件信息在网上的流通更是极快。如果你经常被骚扰，使用服务器端的过滤器是个不错（而且是唯一，除非换邮箱）的选择。

六月

2002 2