木马病毒解析：特洛伊木马的历史与现代网络威胁

hwyzw

    木马这个名字源自古希腊传说，也就是荷马史诗中木马计的故事。“木马”一词的本意是特洛伊的，它代指特洛伊木马，也就是木马计的故事。

    “木马”程序是当下较为流行的病毒文件。它和一般的病毒不一样，不会自我繁殖，也不会特意去感染其他文件。它通过把自身伪装起来，吸引用户进行下载和执行，从而给施种木马者提供了打开被种者电脑的门户，使得施种者能够随意毁坏、窃取被种者的文件，甚至还能远程操控被种者的电脑。“木马”和计算机网络中常用的远程控制软件有相似之处。远程控制软件是“善意”地进行控制，所以通常没有隐蔽性。而“木马”则完全不同，它要实现的是“偷窃”性的远程控制。如果“木马”没有很强的隐蔽性，那就没有什么价值了。

    它指通过一段特定程序（木马程序）去控制另一台计算机。木马一般有两个可执行程序，一个是客户端也就是控制端，另一个是服务端也就是被控制端。被种者电脑中被植入的是“服务器”部分，所谓的“黑客”正是借助“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”之后，被种者的电脑会有一个或几个端口被打开。这样一来，黑客就能够利用这些打开的端口进入电脑系统，从而导致安全和个人隐私全无保障。木马的设计者为了避免木马被发现，会采用多种手段来隐藏木马。木马的服务一旦开始运行并且被控制端连接上，那么控制端就会拥有服务端的大部分操作权限。它可以给计算机添加口令，也能够浏览、移动、复制、删除文件，还可以修改注册表，以及更改计算机的配置等。

    病毒编写技术不断发展，木马程序给用户带来的威胁愈发增大。尤其有一些木马程序，会运用极为狡猾的手段去隐蔽自身，这就使得普通用户在中毒之后，很难察觉到自身已中毒。

    木马的种类

    [编辑本段]

    1. 网络游戏木马

    网络在线游戏日益普及且升温，我国拥有着数量庞大的网游玩家。网络游戏里的金钱以及装备等这些虚拟财富，和现实财富之间的界限变得越来越不清晰。在这个过程中，以盗取网游帐号密码当作目的的木马病毒也开始发展并泛滥开来。

    网络游戏木马一般会通过记录用户的键盘输入这种方式，以及 Hook 游戏进程的 API 函数这种方式，来获取用户的密码和帐号。窃取到的信息通常会以发送电子邮件的方式，或者向远程脚本程序提交的方式，发送给木马作者。

    网络游戏木马的种类在国产木马病毒中是最多的，其数量也是最大的。流行的网络游戏每一款都受到网游木马的威胁。一款新游戏正式发布之后，通常在一到两个星期的时间内，就会有与之对应的木马程序被制作出来。有大量的木马生成器，并且黑客网站还公开销售，这也是网游木马泛滥的原因之一。

    2. 网银木马

    受害用户所遭受的损失也更加惨重。

    网银木马通常具有较强的针对性。木马作者会首先对某家银行的网上交易系统进行细致的分析。接着，针对其中安全较为薄弱的环节来编写病毒程序。2004 年的“网银大盗”病毒，在用户进入工行网银登录页面时，会自动将页面换成安全性能欠佳但仍能运转的老版页面，接着记录用户在该页面填写的卡号和密码；“网银大盗 3”借助招行网银专业版的备份安全证书功能，能够盗取安全证书；2005 年的“新网银大盗”，通过 API Hook 等技术对网银登录安全控件的运行进行干扰。

    我国网上交易日益普及，受到外来网银木马威胁的用户数量在不断增多。

    3. 即时通讯软件木马

    现在，国内的即时通讯软件呈现出百花齐放的态势。是其中之一，新浪 UC 也在其中，网易泡泡同样属于此类，盛大圈圈也包含在内……在网上进行聊天的用户群体规模十分庞大。常见的即时通讯类木马通常有 3 种：

    发送消息的方式有多种。其中一种是通过即时通讯软件自动发送消息，这些消息中含有恶意网址。其目的是让收到消息的用户点击网址从而中毒。用户中毒之后，又会向更多的好友发送带有病毒的消息。此类病毒常用的技术是搜索聊天窗口，然后控制该窗口自动发送文本内容。发送消息型木马常充当网游木马的广告。例如“武汉男生 2005”木马，它能够通过 MSN、QQ、UC 等多种聊天软件发送带毒网址。其主要功能是盗取传奇游戏的帐号和密码。

    盗号型的主要目标是即时通讯软件的登录帐号和密码。它的工作原理与网游木马相似。病毒作者盗取到他人帐号后，一方面可能会偷窥聊天记录等隐私内容，另一方面也可能会将帐号卖掉。

    2005 年初，“MSN 性感鸡”等蠕虫通过 MSN 传播，曾泛滥一阵。之后，MSN 推出新版本，禁止用户传送可执行文件。2005 年上半年，“龟”和“爱虫”这两个国产病毒通过 聊天软件发送自身来进行传播，感染的用户数量非常大，在江民公司统计的 2005 年上半年十大病毒排行榜上分别位列第一和第四名。从技术角度来看，发送文件类的 蠕虫是之前发送消息类 木马的进化。其采用的基本技术是先搜寻到聊天窗口，接着对聊天窗口进行控制，以此来实现发送文件或消息的目的。并且，发送文件的操作要比发送消息复杂得多。

    4. 网页点击类木马

   

    网页点击类木马会恶意地模拟用户点击广告等动作，在较短的时间内能够产生数量达到数以万计的点击量。病毒作者编写这类病毒的目的通常是为了获取高额的广告推广费用。此类病毒的技术较为简单，一般仅仅是向服务器发送 HTTP GET 请求。

    5. 下载类木马

    这种木马程序通常体积较小。它的功能是从网络上下载其他病毒程序或者安装广告软件。因为体积小，所以下载类木马更便于传播，传播速度也更快。那些功能强大且体积较大的后门类病毒，像“灰鸽子”“黑洞”等，在传播时都会单独编写一个小巧的下载型木马，用户中毒后会将后门主程序下载到本机并让其运行。

    6. 代理类木马

    用户感染代理类木马之后，其本机会开启 HTTP 代理服务功能以及 SOCKS 代理服务功能。黑客将受感染的计算机当作跳板，利用被感染用户的身份去开展黑客活动，以此来达到隐藏自身的目的。

    首先找到感染文件。手动的方法是结束相关进程，接着删除文件。然而，现在有很多木马专杀的软件，能够借助这些软件来删除感染文件。

    木马和病毒都是人为编写的程序，都属于电脑病毒范畴。那为何要单独提及木马呢？大家都清楚以前电脑病毒的作用，主要就是搞破坏，比如破坏电脑里的资料数据。除了破坏，有些病毒制造者为达到某些目的，会有威慑和敲诈勒索的作用，或者是为了炫耀自己的技术。而“木马”则不同，它的作用是偷偷地监视他人并窃取他人密码、数据等，像盗窃管理员密码、子网密码来搞破坏，或者只是为了好玩，窃取上网密码用于其他用途，比如游戏帐号、股票帐号，甚至网上银行帐户等，以达到偷窥他人隐私和获取经济利益的目的。所以，木马的作用比早期的电脑病毒更具实用性，能更直接地达到使用者的目的。正因如此，许多别有用心的程序开发者大量编写这类带有偷窃和监视功能的侵入性程序，这就是目前网上木马泛滥成灾的原因。鉴于木马的巨大危害性以及它与早期病毒作用性质的差异，所以木马虽然属于病毒的一类，但需要从病毒类型中单独剥离出来，独立地称之为“木马”程序。

    一般来说，一种杀毒软件程序，如果它的木马专杀程序能够查杀某某木马，那么它的普通杀毒程序也能杀掉这种木马。因为在木马泛滥的今天，为木马单独设计一个专门的木马查杀工具，能提高该杀毒软件的产品档次，对其声誉也大有裨益。实际上，一般的普通杀毒软件里都包含了对木马的查杀功能。如果现在大家说某某杀毒软件没有木马专杀的程序，那这家杀毒软件厂商自己也似乎有点过意不去，尽管它的普通杀毒软件里当然有杀除木马的功能。

    还有一点在于，将查杀木马程序单独分离出来，能够提升查杀效率。如今许多杀毒软件中的木马专杀程序，仅对木马进行查杀，不会去检查普通病毒库里的病毒代码。这意味着，当用户运行木马专杀程序时，该程序只会调用木马代码库里的数据，而不会调用病毒代码库里的数据，从而大大提高了木马的查杀速度。我们清楚，查杀普通病毒的速度比较慢，原因是现在的病毒数量实在太多太多。每个文件需要经过几万条木马代码的检验，再加上已知的将近 10 万个病毒代码的检验，速度自然就会很慢。省去普通病毒代码的检验，是否就提高了效率和速度呢？也就是说，现在很多杀毒软件自带的木马专杀程序只查杀木马，一般不会查杀病毒，但是其自身的普通病毒查杀程序既能查杀病毒又能查杀木马。

    如何防御木马病毒？

    [编辑本段]

    木马查杀（查杀软件很多，有些病毒软件都能杀木马）

    防火墙（分硬件和软件）家里面的就用软件好了

    如果是公司或其他地方就硬件和软件一起用

    大部分木马基本能被防御，然而现在的软件并非万能，不是吗？需要学习一些专业知识，有了这些，你的电脑就会更安全。

    现在有很多高手。只要你不随意访问来源不明的网站，并且不使用来源不明的软件（要知道很多盗版或破解软件都带有木马，这需要你凭借自身经验去区分）。如果你能做到这些，那么木马和病毒就不容易进入你的电脑了。

    如何删除木马病毒 ？

    [编辑本段]

    可以下载卡巴斯基（建议先卸载其他杀毒软件）绿鹰PC万能精灵

    也可以下载瑞星杀毒软件（建议先卸载其他杀毒软件）

   

    卡巴斯基搜索下就可以找到下载，其授权key到这里下载：

    绿鹰PC万能精灵

    瑞星杀毒2008

    他的sn:

    1、禁用系统还原（ Me/XP）

    如果您运行的是 Me 或者 XP，建议您暂时把“系统还原”关闭。此功能在默认情况下是处于启用状态的，一旦计算机中的文件遭到破坏，就可以利用该功能将其还原。要是病毒、蠕虫或者特洛伊木马感染了计算机，那么系统还原功能就会在该计算机上对病毒、蠕虫或者特洛伊木马进行备份。

    外部程序（包括防病毒程序）被禁止修改系统还原。所以，防病毒程序或工具没有能力删除文件夹中的威胁。如此一来，即便您已经清除了所有其他位置的受感染文件，系统还原仍有可能将受感染文件还原到计算机上。

    此外，病毒扫描有可能检测到文件夹里的威胁，即便您已经把该威胁给删除了。

    蠕虫移除干净之后，需要按照上述文章所讲述的那样去恢复系统还原的设置。

    2、将计算机重启到安全模式或者 VGA 模式

    关闭计算机，之后需等待至少 30 秒钟。接着重新启动计算机，可进入安全模式或者 VGA 模式。

    95 用户、98 用户、Me 用户、2000 用户、XP 用户：把计算机重新启动到安全模式。所有 32 位操作系统，除了 NT 系统外，都能够被重新启动到安全模式。若想了解更多信息，请查阅文档《如何以安全模式启动计算机》。

     NT 4 用户：将计算机重启到 VGA 模式。

    启动防病毒程序并扫描和删除受感染文件，同时确保已将其配置为扫描所有文件。运行完整的系统扫描。若检测到有文件被感染，就单击“删除”。若有必要，清除历史和文件。若该程序是在 Files 文件夹中的压缩文件内被检测到的，需执行以下步骤：

    启动。首先进行“工具”>“选项”的操作。接着在“常规”选项卡的“临时文件”部分，点击“删除文件”，之后在出现提示时点击“确定”。然后在“历史”部分，点击“清除历史”，在出现提示后点击“是”。

    3、关于病毒的危害，.会 执行以下作：

    进入作者创建的特定 FTP 站点，试图下载新的特洛伊木马、病毒、蠕虫或其组件。

    完成下载后，特洛伊木马程序将执行它们。

    中了木马后不能打开杀毒软件时，可以利用 360 安全卫士的安全启动功能先进行修复。