怎样抵御“肉鸡攻击”

　　在央视315晚会上，网上银行和网上支付的账号密码安全问题遭到曝光。直播记者描述道，有个公开叫卖个人信息的海量信息科技网，能够通过黑客手段，偷到全国各地的车主信息，各大银行用户数据，甚至股民信息等等，为了验证他出售的信息的真实性，他给记者发来了一个文件，接收后不到5秒钟，电脑里的鼠标自己在屏幕上移动起来，并点击打开了电脑中的各个文件夹，直到自动关机……这样的场景在一部分电视观众心中引起震惊，如果网银用户的电脑在不经意间变成黑客手中的“肉鸡”，在用户毫不知情的情况下在网上随意任其摆布，用户账上的资金被盗，岂不易如反掌了吗？一份艾瑞调研报告显示，315晚会对网上银行业务产生相当大的冲击，近三成受调研的用户决定减少使用，近六成的潜在用户决定推迟使用，超两成的潜在用户决定不再使用网上银行和网上支付！

　　不过，就像洗完澡后不能把洗净的孩子和洗澡水一起倒掉一样，我们不能因噎废食，从此被肉鸡攻击所吓阻，舍弃了方兴未艾的网上银行服务。现在最应该做的是，找出一条抵御肉鸡攻击的有效途径，为放心安全开展网银业务扫清障碍！

　　肉鸡攻击是怎么回事

　　肉鸡攻击真的有那么可怕吗？答案是否定的。古话说：“魔高一尺，道高一丈。”现在的安全技术完全有能力来抵御肉鸡攻击，保护网上银行和网上支付的安全。当然，抵御肉鸡攻击的首要条件是“知己知彼”，下面，我们就来具体地讲解一下与肉鸡攻击有关系的概念，可以分四个方面来讲：

　　一、什么是计算机远程控制

　　远程控制是计算机的一项正常的功能。打开你的电脑，右击“我的电脑”图标，再顺序点击“管理”，“服务和应用程序”，“服务”，你能发现“Telnet”和“Telnet Services”两项服务。Windows操作系统提供的这两项服务就是远程控制的功能。Telnet允许用户远程登录主机和运行程序；而Telnet Services允许多位用户连接并控制一台计算机，还能在远程计算机上显示桌面和应用程序，即“远程桌面”的功能。

　　计算机系统的远程控制功能是为了正常工作需要而设定的。比如系统管理员上外地出差了，计算机系统出了情况要维护，怎么办呢？他可以通过网络远程登录自己的计算机，执行一些命令和程序，察看运行状况，进行必要的处理。然而，黑客却利用了远程控制的理念，设法进入并控制别人机器，实施肉鸡攻击。

　　二、远程控制后门木马

　　能够实现非法远程控制的黑客软件/木马有很多，比较典型的有“灰鸽子”、“网络红娘”、“上兴远程控制”、“PC Shell”等。这些木马也被称为“远程控制后门病毒”。我们以“灰鸽子”为例，看看它们能做什么？

　　远程控制软件一般由服务端（被控端）和客户端（控制端）两部分组成。灰鸽子可以利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

　　这样，灰鸽子的服务端（肉鸡电脑），不是等待控制端（黑客电脑）连接，而是系统一启动，服务端就会去自动上线连接控制端，控制端的操作人员（黑客）随时可以完成他想要进行的操作。

　　服务端程序运行后自行删除，并且可以选择完全隐藏服务端图标。即使有服务端图标，和其它正常的远程控制软件不同的是，这个图标完全没有任何用处，你只是知道它存在而已，想关闭也很难办。

　　灰鸽子可以配置即将种植在肉鸡上的病毒名和病毒自动加载启动项 ；可以配置代理服务器，使得中灰鸽子的机器不明不白地为第三方提供网络连接服务。使用代理服务器作跳板对第三方目标发起攻击，是黑客最爱干的事儿，一旦有人追查，这些代理服务器，就成了真正黑客的替罪羊。

　　灰鸽子可以配置插件，可用来捆绑第三方软件，比如流氓软件……等等。

　　当中了招的肉鸡电脑服务端启动后，客户端立即发现目标主机自动上线，这意味着客户端可以为所欲为了。这时候，黑客能干的事有很多，如：

　　·直接操作肉鸡电脑文件，上传下载，删除修改，看中什么就拿什么。

　　·执行远程控制命令组，可以查看远程主机的系统信息、剪切板、进程、窗口、键盘记录器、服务、共享、模拟命令行操作、设置代理服务器和启动插件。想想看，如果目标主机的操作人员正在登录网上银行，你的每个击键动作，都像在黑客的眼皮底下。

　　 ·操作远程编辑注册表，上传一个有害程序，修改目标主机注册表，让这个程序自动加载，和操作你本地的注册表一样容易。

　　 灰鸽子能干的其他事请还包括命令广播功能、远程桌面功能、远程控制摄像头等。限于篇幅，不一一介绍了。

　　三、什么是网页挂马

　　黑客实施“肉鸡攻击”有多种途径。

　　第一个途径是直接途径：即黑客直接给用户发送含有远程控制木马程序的电子邮件，用户一旦接收并打开邮件就会中招，木马就会被种入用户电脑中。但是使用这个方法比较笨拙，必须先要知道用户的电子邮件地址才行，这还得花时间去搜索收集，逐个地尝试。因此，还有第二个途径——网页挂马。

　　这个途径是间接方式的，黑客先找一个网站，一般是访问量大的网站，想办法在网站的网页上种入木马，当用户访问该网站时，木马就会被复制到用户电脑中。当然，这里有一个条件：因为网马是利用计算机系统漏洞或某个应用软件的漏洞进行传播恶意程序的，中毒的前提是，用户计算机存在着对应网马的漏洞，同时，用户也没有在计算机中安装高效的安全软件来保护其系统，从而网马病毒被免杀。这种“等客自动上门”的方式比较高效，被黑客广泛应用。

　　如果网站采取了比较严密的防范措施，黑客是无缝可钻的。可惜，有那么一批网站，包括一些知名的大网站，防范措施不够严密，有漏洞可钻。

　　一般来说，黑客并没有固定的攻击目标，怎样寻找带有漏洞的网站呢？他们利用一种工具——漏洞扫描器，在网上搜索有注入漏洞的网站服务器。漏洞扫描器软件有很多，有的扫描器功能强大，不但可以发现服务器打开的的端口，还可以获得操作员的账号和口令密码，判断操作系统有哪些服务在运行，甚至判断目标内安置的防火墙及入侵检测系统（IDS）的规避技术等。有的黑客还把漏洞扫描器和强大的Google搜索引擎结合起来，以提高搜索效率。有黑客做了个统计，如果关键字设得好，搜索的结果中，每100个网站中就能发现20几个有注入漏洞的网站，在这些网站中又有5个左右是有sa（数据库系统管理员）权限的。

　　已发现的具有注入漏洞的网址被称为“注入点”。

　　黑客通过漏洞扫描发现了注入点，就利用黑客软件给这个网站实施网页挂马。

　　网页挂马的手段有很多，比如，黑客可以将木马与一张图片绑定，嵌入网页，诱骗你点击打开；网页木马还可以挂在多媒体文件（RM、RMVB、WMV、WMA、Flash）、电子邮件、论坛等多种形式的媒介上；另外，也可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载。从名称上讲，这个虽然不能称为“网页挂马”，但其目的和效果与前者是一样的。

　　 网页木马实际上是一个HTML网页，嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让用户电脑的IE浏览器在后台自动下载黑客放置在网页上的木马并安装运行这个木马。整个过程都在后台运行，用户一旦打开这个网页，下载过程和安装运行过程就自动开始。

　　 为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，操作系统或其它应用软件（如暴风影音媒体播放器、RealPlayer媒体播放器、Flash、迅雷等）也存在很多漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。

　　四、黑客怎样操纵肉鸡

　　黑客操纵“肉鸡”有两种方式：

　　一种方式是手动方式，当灰鸽子等远程控制后门木马被种入用户电脑并启动后，黑客的本地电脑就成为“肉鸡”主机的远程终端，黑客可以手工操作，通过命令打开“肉鸡”系统的文件，察看信息，执行程序，发送数据……冒充主人作任何想做的事。

　　另一种方法是通过远程控制后门程序所配置的种植在肉鸡上的病毒程序去控制目标计算机。

　　上文中，我们已经介绍过远程控制后门木马/病毒的功能，黑客使用它，便表演出了315晚会上的那一幕情景。

　　怎样发现和抵御肉鸡攻击

　　了解了肉鸡攻击的过程和原理，我们可以领会到，肉鸡攻击并非你想象的那样神秘莫测。简而言之，“肉鸡”就是一个在不知情的情况下被远程控制的计算机终端。主要是用户不经意浏览或者接收未知文件时中招，被种下了接受远程控制的木马程序。

　　针对肉鸡攻击的特点，专家们提出了一些抵御肉鸡攻击的有效措施，值得大家参考采用。这些措施可以归结为四个字：“一禁二补三检四清”。下面具体解释一下：

　　所谓“一禁”，就是不要访问不熟悉的、可疑的网站。以免在浏览被挂了马的网页时中招。在登录网上银行网站时，要尽量直接输入正确的域名，而不是从其他网站的链接地址进入。

　　所谓“二补”，就是要及时打补丁，升级杀毒软件。

　　我们的电脑系统中到底有多少漏洞？谁也说不清。拿微软的Windows、Office来说，反正隔不多时，微软就会发出通告，发现新的漏洞，要求用户下载、安装补丁软件包。黑客当然也没闲着，就像赛跑一样，他们力图在用户打好补丁之前，就实施入侵。所以，你一旦看到系统厂商以及其他应用软件供应商要求打补丁的通告后，可千万别掉以轻心，别发懒，应该马上动手及时打好补丁，防患于未然。

　　对于你安装的杀毒软件，也要及时升级，让你的杀毒软件能够杀掉最新的病毒，这样才能做到“魔高一尺，道高一丈”。

　　所谓“三检”，就是时刻注意观察留意系统的异常情况。如：

　　 ·有时会突然发现你的鼠标不听使唤，在你不动鼠标的时候，鼠标也会移动，并且还会点击有关按钮进行操作。

　　 ·正常上网时，突然感觉很慢，硬盘灯在闪烁，就像你平时在拷贝文件。

　　 ·在你没有使用网络资源时，你发现网卡灯在不停闪烁，或者屏幕右下角的网卡图标在闪。

　　 ·上网过程中计算机自动重启。

　　 ·电脑运行过程中或者开机的时候弹出莫名其妙的对话框。

　　 ·出现异常情况后，按“Ctr”+“Alt”+“Del”键，打开“任务管理器”，检查进程队列，如发现陌生可疑，且占用资源较多的进程，即表明，可能被“挂马”或中病毒了。

　　根据以上现象进行初步的诊断，虽然不十分准确，但仍具有参考价值，需引起我们警觉。

　　接下来，我们可以借助一些软件来观察网络活动情况，以检查系统是否被入侵。

　　 ·注意检查防火墙软件的工作状态。如果发现自己根本没有使用的软件在连接到远程计算机，就要小心了。

　　 ·使用一些工具软件（如tcpview），可以非常清晰的查看当前网络的活动状态。一般的木马连接，是可以通过这个工具查看到结果的。

　　 ·使用杀毒软件进行在线诊断，特别注意全面诊断的进程项。杀毒软件会对每一项进行安全评估，当遇到未知项时，需要特别小心。

　　所谓“四清”，指的是你如果不幸已经成为电脑肉鸡，那么，要想法自救，清除病毒，尽快从“肉鸡状态”中解脱出来。

　　下面介绍一个典型的自救操作流程，可供参考：

　　一、正在上网的用户，发现异常应首先马上断开连接。

　　断开连接可以在降低自己的损失的同时，也避免了病毒向更多的在线电脑传播。

　　二、中毒后，应马上备份、转移文档和邮件等。

　　不管这些文件是否带毒，你都应该备份，因为有些病毒是专门针对某个杀毒软件设计的，一运行就会破坏其他文件，所以先备份是防患于未然的措施。等你清除完硬盘内的病毒后，再来慢慢分析处理这些额外备份的文件较为妥善。

　　 三、查杀病毒。

　　 建议用两种以上杀毒工具交叉清除病毒。由于开发时候侧重点不同、使用的杀毒引擎不同，各种杀毒软件都是有自己的长处和短处的，交叉使用效果较理想。

　　　四、镜像恢复操作系统。

　　 有经验的电脑用户都会在平时用Ghost软件做了Windows的镜像克隆备份。这时候用Ghost备份来做恢复，所还原的操作系统是最保险的。这样一做连潜在的未杀光的木马程序也顺便清理了。当然，这要求你的Ghost备份绝对清洁可靠。要是在做Ghost备份的时候把木马也备份了可就前功尽弃了。

　　　五、再次恢复系统后，更改你的网络相关密码。

　　 包括登录网络的用户名、密码，邮箱的密码和其他相关密码，防止黑客用上次入侵过程中得到的密码进入你的系统。另外，因为很多蠕虫病毒发作会向外随机发送你的信息，所以及时地更改是必要的。

　　上文我们谈到了怎样发现和抵御肉鸡攻击的基本知识，重点在于概念介绍。实际操作细节没有完全展开来表述。技术细节请读者参阅有关文献。

　　另外需要指出的是，在网银安全中，抵御肉鸡攻击只是其中的一个环节，其他安全措施还有很多。例如，如果客户拥有USB Key数字证书（工行称其为U盾），就能保护用户免受网银欺诈，因为即使电脑中招成了“肉鸡”，不插USB Key数字证书还是做不了网银交易的。这些知识在其他文章中已有介绍，请读者关注。