绿盟安全月刊->第34期->安全新闻 能躲过防火墙的特洛伊木马问世

日期：2002-08-16

发布日期：2002-08-08

计算机世界网

　　计算机世界网消息 据南非的三名安全顾问本周日在DefCon黑客大会上表示，一种新的技术能够使特洛伊木马病毒将自己伪装成IE，使防火墙将它认为是正常的微软应用软件，从而使黑客能够窃取PC中的资料。

　　近二年来，安全人员一直警告说，能够躲过防火墙探测的特洛伊木马是黑客技术发展的必然趋势。在DefCon上，这三名研究人员演示了被称为Setiri的特洛伊木马程序。尽管表示不会发布这种技术，但他们呼吁微软改变IE的某些功能。

　　Setiri在IE中打开一个隐形窗口，通过一个名字为Anonymizer.com的匿名代理网站连接到Web服务器上。Setiri使用该网站在用户不知情的情况下在用户的PC上执行任何命令，其中包括在用户的PC上安装一个击健记录程序等。由于黑客窃取的数据是通过Anonymizer传输的，用户无法跟踪黑客的位置。

　　Setiri利用了IE中一项允许开启隐形窗口、并让隐形窗口与互联网连接的标准功能。由于是隐形的，我们无从知道它执行了什么样的操作。IE使用隐形窗口执行许多正常的操作，例如向互联网发送注册信息。

　　研究人员罗伊罗夫表示，阻击Setiri的一种可能的方法是微软关闭隐形窗口功能，但这会影响IE执行其他正常的操作。他说，禁止Setiri与其存储命令的网站相连接的唯一方法是，对防火墙软件进行配置，禁止系统访问Anonymizer网站。但罗伊罗夫的同事哈龙说，这种方法不能阻止Setiri的变种，它们可能使用不同的代理网站，甚至使用受用户信任的网站。

　　参加DefCon黑客大会的微软公司的一名开发人员表示，微软将寻求只让隐形浏览器窗口执行某些操作的方法。微软公司的发言人表示，微软承诺要保证用户资料的安全，并正在对Setiri使用的技术进行评估。