国际锐评丨菲律宾当心被植入“特洛伊木马”

7日这天，美国、日本、澳大利亚联合菲律宾在南海举行首次联合海上演习。菲媒体毫不隐讳地指出，四国联合展示军事力量，目的就是制衡中国。联系到即将在华盛顿上演的美日菲峰会，菲方拉拢域外势力插手南海问题、将南海争端国际化的意图不言自明。当天，中国人民解放军南部战区位南海海域组织联合海空战巡。一切搅局南海、制造热点的军事活动尽在掌握。

去年以来，菲律宾在南海地区不断滋事，屡屡侵闯中国黄岩岛、仁爱礁附近海域。最近，它又开辟了“新战线”——3月21日，菲方出动多达34人的“大部队”，无视中方警告劝阻，非法登上中国的铁线礁活动；4月4日，菲律宾多艘船只到中国南沙群岛鲎藤礁邻近海域开展非法活动，遭中国海警依法依规处置。从黄岩岛到仁爱礁，从铁线礁到鲎藤礁，菲律宾在南海多点挑衅的目的是什么？一些分析指出，菲方就是想通过不断滋事，给中方制造所谓“麻烦”，持续炒热南海议题，把事态闹大。

菲律宾口头上说追求地区和平，但实际行动是在制造对抗冲突。这背后最主要的原因是美国等外部势力的怂恿支持。有分析人士对《国际锐评》指出，菲律宾在军事和安全方面严重依赖外部大国，这些外部国家就通过提供援助、联合军演、联合巡航等，把菲律宾死死拿捏住。菲律宾的南海政策正日渐蜕化为美国打压中国的霸权工具。它对“漂亮朋友”们的依赖，正把自身引向危险道路。

菲律宾总统马科斯声称，域外朋友们“主动提出帮助我们、满足菲律宾的需求”。对于如此可笑的发言，分析人士讽刺说，菲律宾不是一个散发无边魅力的美女，这些西方国家不远万里而来，可不是为了追求与菲律宾的友谊或者爱情。

菲律宾参议院外交关系委员会主席伊梅·马科斯对此也有着清醒认识。她指出，菲政府接受美西方国防和海上安全捐款，等同于“欢迎许多包含外国干涉的特洛伊木马”，而这可能导致长期冲突。她还说，“在我们与中国的海上冲突中，情绪而非理性占据了上风，这将把我们引向一条危险的道路……”为此，她敦促菲政府不要在与中国的海上问题上自找麻烦，应该促进互相了解。这与诸多东盟国家的政策立场一致。

4月初以来，东盟国家掀起访华潮。印尼当选总统普拉博沃首访中国，表示完全支持发展更加紧密的印尼同中国关系，愿延续佐科总统的对华友好政策；老挝副总理兼外长沙伦赛、越南外长裴青山也分别访华；长期致力于中泰友好的诗琳通公主则开启了一周中国行。谈及南海问题时，越方就表示，愿同中方落实两国高层共识，妥善管控分歧，积极推进海上合作和“南海行为准则”磋商，维护南海和平稳定。

东盟国家密集来访，是中国-东盟关系不断走近的真实写照。新加坡尤索夫伊萨东南亚研究院东盟研究中心4月2日发布的东南亚态势报告显示，多半受访者认为东南亚国家与中国关系向好，对美国作为战略伙伴和保障区域安全的信心明显下滑。分析人士指出，东盟国家对美国好感度下降，是因为他们意识到，在菲律宾无理耍泼的背后，正是美国等“漂亮朋友”的挑唆指使。而中国在南海问题上采取的稳健做法，才是真正维护地区和平，也符合各国利益。

于是，人们就看到了这样撕裂的一幕：一方面，东盟绝大多数国家致力于维护本地区的和平稳定，推动地区合作与经济一体化；另一方面，在外部大国的怂恿撑腰下，菲律宾甘当棋子搅乱南海局势，与整个地区的诉求背道而驰。

菲律宾是亚洲的菲律宾，是东盟的菲律宾。它必须回归东南亚大家庭，顺应历史潮流，坚持战略自主，维护地区和平与稳定。它在南海问题上的种种挑衅，注定如飞蛾扑火。（国际锐评评论员）

微信扫码分享

销声匿迹7年多的梁宏达，“一代铁嘴”如今的结局，原来早已注定

梁宏达：曾光芒万丈的铁嘴，如今消失在娱乐圈的阴影中近年来，娱乐圈一直有一个名字被人们津津乐道，那就是梁宏达，或许对于年轻一代来说，这个名字有些陌生，但对于那些曾经追随他的粉丝来说，梁宏达就是一个传奇。他曾以一张嘴，以一己之力，轰动全网，挑战各路大咖，但如今，他却已经消失在大众的视线中。梁宏达，一个曾经闪耀在中国脱口秀界的明星，七年前，他以独特的见解和口才让无数观众为之倾倒。他的节目《老梁说天下》、《老梁故事汇》等，无一不是收视率的保证，他以幽默风趣的讲述，将天文地理、国家大事、小人物故事巧妙结合，深受观众喜爱。然而，就在事业鼎盛之时，梁宏达却宣布退出娱乐圈，几乎一夜之间消失在人们的视线中。关于他的去向，各种猜测不绝于耳，有人说他移民国外享受生活，有人说他因病去世。然而，真相终究是揭晓了，原来，梁宏达之所以退出娱乐圈，是因为他的一系列不当言论引发了广泛争议。梁宏达曾是一个备受瞩目的名人，然而，随着时间的推移，他的言论开始偏离了正轨。他开始针对明星和娱乐圈，甚至开始抨击一些人们心中的英雄人物，这引起了广泛愤怒和不满。人们认为，作为公众人物，梁宏达不应该随意践踏道德底线，他的行为已经远远超出了言论自由的范畴。随着舆论的发酵，相关部门开始介入调查，最终，梁宏达的所有节目被下架，他也被驱逐出了娱乐圈。这一事件不仅震惊了观众，也引发了社会对于公众人物言论责任的深思。在这个充满竞争的时代，我们需要更多的正能量来引导大家的价值取向，不能容忍任何人以言论自由之名伤害社会公共利益。作为一个媒体人，我深深地感受到了言论自由的重要性，但我也认识到，言论自由并不等同于言论滥用。我们应该珍惜自己的言论权利，同时也要牢记自己的社会责任，不要为了短期的利益而背离道德底线。只有这样，我们才能成为真正的时代精英，为国家富强和民族振兴贡献一份力量。

中了“特洛伊木马”怎么办？

一位客户的PC出现了奇怪的症状，速度变慢，CD-ROM托盘毫无规律地进进出出，从来没有见过的错误信息，屏幕图像翻转，等等。 我切断了他的Internet连接，然后按照对付恶意软件的标准步骤执行检查，终于找出了罪魁祸首：两个远程访问特洛伊木马——一个是Cult of the Dead Cow臭名昭著的Back Orifice，还有一个是不太常见的The Thing。 在这次事件中，攻击者似乎是个小孩，他只想搞些恶作剧，让别人上不了网，或者交换一些色情资料，但没有什么更危险的举动。 如果攻击者有其他更危险的目标，那么他可能已经从客户的机器及其网络上窃得许多机密资料了。 特洛伊木马比任何其他恶意代码都要危险，要保障安全，最好的办法就是熟悉特洛伊木马的类型、工作原理，掌握如何检测和预防这些不怀好意的代码。 一、初识特洛伊木马 特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。 一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。 攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。 最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。 大多数特洛伊木马包括客户端和服务器端两个部分。 攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。 只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。 通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。 另外，攻击者还可以设置登录服务器的密码、确定通信方式。 服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。 不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。 特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。 实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。 攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到网络要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的攻击者早就溜之大吉。 二、极度危险的恶意程序 对于大多数恶意程序，只要把它们删除，危险就算过去，威胁也不再存在，但特洛伊木马有些特殊。 特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序，例如，经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具，用户所有的磁盘空间几乎都被侵占殆尽，但除此之外，特洛伊木马还有其独一无二的特点——窃取内容，远程控制——这使得它们成为最危险的恶意软件。 首先，特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力，这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射，甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。 如果PC带有一个麦克风，特洛伊木马能够窃听谈话内容。 如果PC带有摄像头，许多特洛伊木马能够把它打开，捕获视频内容——在恶意代码的世界中，目前还没有比特洛伊木马更威胁用户隐私的，凡是你在PC前所说、所做的一切，都有可能被记录。 一些特洛伊木马带有包嗅探器，它能够捕获和分析流经网卡的每一个数据包。 攻击者可以利用特洛伊木马窃取的信息设置后门，即使木马后来被清除了，攻击者仍可以利用以前留下的后门方便地闯入。 其次，如果一个未经授权的用户掌握了远程控制宿主机器的能力，宿主机器就变成了强大的攻击武器。 远程攻击者不仅拥有了随意操控PC本身资源的能力，而且还能够冒充PC合法用户，例如冒充合法用户发送邮件、修改文档，当然还可以利用被侵占的机器攻击其他机器。 二年前，一个家庭用户请我帮忙，要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。 交易机构确实在该笔交易中记录了他的PC的IP地址，而且在他的浏览器缓冲区中，我也找到了该笔有争议的交易的痕迹。 另外，我还找到了SubSeven（即Backdoor_G）特洛伊木马的迹象。 虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关，但可以看出交易发生之时特洛伊木马正处于活动状态。 三、特洛伊木马的类型 常见的特洛伊木马，例如Back Orifice和SubSeven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。 这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。 攻击者可以配置特洛伊木马监听的端口、运行方式，以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。 一些危害大的特洛伊木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的API供其它攻击者开发附加的功能。 由于功能全面，所以这些特洛伊木马的体积也往往较大，通常达到100 KB至300 KB，相对而言，要把它们安装到用户机器上而不引起任何人注意的难度也较大。 对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是10 KB到30 KB，以便快速激活而不引起注意。 这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。 还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。 通常，这些微型的木马只用来窃取难以获得的初始远程控制能力，保障最初入侵行动的安全，以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。 随便找一个Internet搜索网站，搜索一下关键词Remote Access Trojan，很快就可以得到数百种特洛伊木马——种类如此繁多，以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列，每一个字母下有数打甚至一百多个木马。 下面我们就来看看两种最流行的特洛伊木马：Back Orifice和SubSeven。 ■ Back Orifice 1998年，Cult of the Dead Cow开发了Back Orifice。 这个程序很快在特洛伊木马领域出尽风头，它不仅有一个可编程的API，还有许多其他新型的功能，令许多正规的远程控制软件也相形失色。 Back Orifice 2000（即BO2K）按照GNU GPL（General Public License）发行，希望能够吸引一批正规用户，以此与老牌的远程控制软件如pcAnywhere展开竞争。 但是，它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。 攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数，包括TCP或UDP、端口号、加密类型、秘密激活（在Windows 9x机器上运行得较好，在Windows NT机器上则略逊一筹）、密码、插件等。 Back Orifice的许多特性给人以深刻的印象，例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩，等等。 Back Orifice带有一个软件开发工具包（SDK），允许通过插件扩展其功能。 默认的bo_插件允许攻击者远程控制机器的键盘和鼠标。 就实际应用方面而言，Back Orifice对错误的输入命令非常敏感，经验不足的新手可能会使它频繁地崩溃，不过到了经验丰富的老手那里，它又会变得驯服而又强悍。 ■ SubSeven SubSeven可能比Back Orifice还要受欢迎，这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。 SubSeven可以作为键记录器、包嗅探器使用，还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。 图二显示了一部分SubSeven的客户端命令和服务器配置选项。 SubSeven具有许多令受害者难堪的功能：攻击者可以远程交换鼠标按键，关闭/打开Caps Lock、Num Lock和Scroll Lock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机，等等。 SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系，它能够随机地更改服务器端口，并向攻击者通知端口的变化。 另外，SubSeven还提供了专用的代码来窃取AOL Instant Messenger（AIM）、ICQ、RAS和屏幕保护程序的密码。 四、检测和清除特洛伊木马 如果一个企业网络曾经遭受病毒和Email蠕虫的肆虐，那么这个网络很可能也是特洛伊木马的首选攻击目标。 由于木马会被绑定程序和攻击者加密，因此对于常规的反病毒软件来说，查找木马要比查找蠕虫和病毒困难得多。 另一方面，特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。 因此，检测和清除特洛伊木马是系统管理员的首要任务。 要反击恶意代码，最佳的武器是最新的、成熟的病毒扫描工具。 扫描工具能够检测出大多数特洛伊木马，并尽可能地使清理过程自动化。 许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马，但某些工具的效果令人怀疑，至少不值得完全信任。 不过，Agnitum的Tauscan确实称得上顶级的扫描软件，过去几年的成功已经证明了它的效果。 特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口，特别地，如果这个端口正好是特洛伊木马常用的端口，木马入侵的证据就更加肯定了。 一旦发现有木马入侵的证据，应当尽快切断该机器的网络连接，减少攻击者探测和进一步攻击的机会。 打开任务管理器，关闭所有连接到Internet的程序，例如Email程序、IM程序等，从系统托盘上关闭所有正在运行的程序。 注意暂时不要启动到安全模式，启动到安全模式通常会阻止特洛伊木马装入内存，为检测木马带来困难。 大多数操作系统，当然包括Windows，都带有检测IP网络状态的Netstat工具，它能够显示出本地机器上所有活动的监听端口（包括UDP和TCP）。 打开一个命令行窗口，执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口，注意一下是否存在意外打开的端口（当然，这要求对端口的概念和常用程序所用的端口有一定的了解）。 显示了一次Netstat检测的例子，检测结果表明一个Back Orifice使用的端口（即）已经被激活，木马客户程序使用的是远程机器（ROGERLAP）上的1216端口。 除了已知的木马常用端口之外，另外还要特别留意未知的FTP服务器（端口21）和Web服务器（端口80）。 但是，Netstat命令有一个缺点，它能够显示出哪些IP端口已经激活，但却没有显示出哪些程序或文件激活了这些端口。 要找出哪个执行文件创建了哪个网络连接，必须使用端口枚举工具，例如，Winternals Software的TCPView Professional Edition就是一个优秀的端口枚举工具。 Tauscan除了能够识别特洛伊木马，也能够建立程序与端口的联系。 另外，Windows XP的Netstat工具提供了一个新的-o选项，能够显示出正在使用端口的程序或服务的进程标识符（PID），有了PID，用任务管理器就可以方便地根据PID找到对应的程序。 如果手头没有端口枚举工具，无法快速找出幕后肇事者的真正身份，请按照下列步骤操作：寻找自动启动的陌生程序，查找位置包括注册表、文件、启动文件夹等。 然后将机器重新启动进入安全模式，可能的话，用Netstat命令确认一下特洛伊木马尚未装入内存。 接下来，分别运行各个前面找出的有疑问的程序，每次运行一个，分别用Netstat命令检查新打开的端口。 如果某个程序初始化了一个Internet连接，那就要特别小心了。 深入研究一下所有可疑的程序，删除所有不能信任的软件。 Netstat命令和端口枚举工具非常适合于检测一台机器，但如果要检测的是整个网络，又该怎么办？大多数入侵检测系统（Intrusion Detection System，IDS）都具有在常规通信中捕获常见特洛伊木马数据包的能力。 FTP和HTTP数据具有可识别的特殊数据结构，特洛伊木马数据包也一样。 只要正确配置和经常更新IDS，它甚至能够可靠地检测出经过加密处理的Back Orifice和SubSeven通信。 请参见，了解常见的源代码开放IDS工具。 五、处理遗留问题 检测和清除了特洛伊木马之后，另一个重要的问题浮现了：远程攻击者是否已经窃取了某些敏感信息？危害程度多大？要给出确切的答案很困难，但你可以通过下列问题确定危害程度。 首先，特洛伊木马存在多长时间了？文件创建日期不一定值得完全信赖，但可资参考。 利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期，如果执行文件的创建日期很早，最近访问日期却很近，那么攻击者利用该木马可能已经有相当长的时间了。 其次，攻击者在入侵机器之后有哪些行动？攻击者访问了机密数据库、发送Email、访问其他远程网络或共享目录了吗？攻击者获取管理员权限了吗？仔细检查被入侵的机器寻找线索，例如文件和程序的访问日期是否在用户的办公时间之外？ 在安全要求较低的环境中，大多数用户可以在清除特洛伊木马之后恢复正常工作，只要日后努力防止远程攻击者再次得逞就可以了。 至于安全性要求一般的场合，最好能够修改一下所有的密码，以及其他比较敏感的信息（例如信用卡号码等）。 在安全性要求较高的场合，任何未知的潜在风险都是不可忍受的，必要时应当调整管理员或网络安全的负责人，彻底检测整个网络，修改所有密码，在此基础上再执行后继风险分析。 对于被入侵的机器，重新进行彻底的格式化和安装。 特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。 深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害.

特洛伊木马的故事 特洛伊木马是怎么回事

大约在公元前13世纪，希腊人和特洛伊人之间发生了一场战争。希腊人联合起来攻打特洛伊城，但特洛伊城是个十分坚固的城市，希腊人攻打了9年也没有打下来。

第10年的一天早晨，希腊联军的战舰突然扬帆离去，平时喧闹的战场变得寂静无声。特洛伊人以为希腊人撤军回国了，他们跑到城外，发现海滩上留有一个巨大的木马。

特洛伊人惊讶地围住木马，不知道这木马是干什么用的。

一个被他们捕获的希腊人告诉特洛伊人，这个木马是希腊人用来祭祀雅典娜女神的。他还说，希腊人担心特洛伊人把木马拉进城，会给他们的国家带来好运，所以特意把木马做得很大，这样，特洛伊人就无法把木马拉进城了。

特洛伊人听后，赶紧把木马往城里拉。不过，这个木马实在太大了，特洛伊人只好把城墙拆开了一段，才把它拉进城中。

当天晚上，特洛伊人欢天喜地庆祝胜利。

想不到，木马中居然藏有全副武装的希腊战士。他们从木马里出来，悄悄地摸向城门，杀死了睡梦中的守军，迅速打开了城门，并在城里到处点火。

隐藏在附近的希腊军队如潮水般涌进特洛伊城。特洛伊人苦苦守城十年，终于因为一个木马而失败;特洛伊城被抢掠一空，烧成灰烬。

从此，“当心希腊人造的礼物”这一 名言 在世界各地流传开来，它提醒人们要警惕和防止被对手钻进自己的心脏。

“特洛伊木马”成了“挖心战”的同义语，比喻打进对手心脏的战术。所以，有人将那些会将自己伪装成某种应用程序来吸引使用者下载或执行，并进而破坏使用者电脑资料或窃取其他信息的程序，成为“特洛伊木马”病毒。

一点百度页面杀毒软件就告诉我特洛伊木马agent-c·mb被拦截 点别的网页就没有事情 这是为什么啊？

出现这种情况是因为电脑上杀毒软件的防护功能拦截了木马；

一般杀毒软件都有防护功能，以腾讯电脑管家为例，查看杀毒软件防护功能，

1、打开病毒查杀-实时防护，可看到电脑管家对电脑的多重保护。

2、在上网安全防护内就可以看到搜索防护了。