木馬電腦病毒介紹

　　“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，下面由學(xué)習(xí)啦小編給你做出詳細(xì)的木馬電腦病毒介紹!希望對(duì)你有幫助!歡迎回訪學(xué)習(xí)啦網(wǎng)站，謝謝!

　　木馬電腦病毒介紹：

　　它通過(guò)將自身偽裝吸引用戶(hù)下載執(zhí)行，向施種木馬者提供打開(kāi)被種者電腦的門(mén)戶(hù)，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。“木馬”與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性;“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒(méi)有很強(qiáng)的隱蔽性的話，那就是“毫無(wú)價(jià)值”的。

　　一個(gè)完整的“木馬”程序包含了兩部分：“服務(wù)器”和“控制器”。植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運(yùn)行了“服務(wù)器”的電腦。運(yùn)行了木馬程序的“服務(wù)器”以后，被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被打開(kāi)，使黑客可以利用這些打開(kāi)的端口進(jìn)入電腦系統(tǒng)，安全和個(gè)人隱私也就全無(wú)保障了!

　　病毒是附著于程序或文件中的一段計(jì)算機(jī)代碼，它可在計(jì)算機(jī)之間傳播。它一邊傳播一邊感染計(jì)算機(jī)。病毒可損壞軟件、硬件和文件。

　　病毒 (n.)：以自我復(fù)制為明確目的編寫(xiě)的代碼。病毒附著于宿主程序，然后試圖在計(jì)算機(jī)之間傳播。它可能損壞硬件、軟件和信息。

　　與人體病毒按嚴(yán)重性分類(lèi)(從 Ebola 病毒到普通的流感病毒)一樣，計(jì)算機(jī)病毒也有輕重之分，輕者僅產(chǎn)生一些干擾，重者徹底摧毀設(shè)備。令人欣慰的是，在沒(méi)有人員操作的情況下，真正的病毒不會(huì)傳播。必須通過(guò)某個(gè)人共享文件和發(fā)送電子郵件來(lái)將它一起移動(dòng)。

　　“木馬”全稱(chēng)是“特洛伊木馬(TrojanHorse)”，原指古希臘士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。在Internet上，“特洛伊木馬”指一些程序設(shè)計(jì)人員(或居心不良的馬夫)在其可從網(wǎng)絡(luò)上下載(Download)的應(yīng)用程序或游戲外掛、或網(wǎng)頁(yè)中，包含了可以控制用戶(hù)的計(jì)算機(jī)系統(tǒng)或通過(guò)郵件盜取用戶(hù)信息的惡意程序，可能造成用戶(hù)的系統(tǒng)被破壞、信息丟失甚至令系統(tǒng)癱瘓。

　　一、木馬的特性

　　特洛伊木馬屬于客戶(hù)/服務(wù)模式。它分為兩大部分，既客戶(hù)端和服務(wù)端。其原理是一臺(tái)主機(jī)提供服務(wù)(服務(wù)器端)，另一臺(tái)主機(jī)接受服務(wù)(客戶(hù)端)，作為服務(wù)器的主機(jī)一般會(huì)打開(kāi)一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽(tīng)。如果有客戶(hù)機(jī)向服務(wù)器的這一端口提出連接請(qǐng)求，服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，來(lái)答應(yīng)客戶(hù)機(jī)的請(qǐng)求。這個(gè)程序被稱(chēng)為進(jìn)程。

　　木馬一般以尋找后門(mén)、竊取密碼為主。統(tǒng)計(jì)表明，現(xiàn)在木馬在病毒中所占的比例已經(jīng)超過(guò)了四分之一，而在近年涌起的病毒潮中，木馬類(lèi)病毒占絕對(duì)優(yōu)勢(shì)，并將在未來(lái)的若干年內(nèi)愈演愈烈。木馬是一類(lèi)特殊的病毒，如果不小心把它當(dāng)成一個(gè)軟件來(lái)使用，該木馬就會(huì)被“種”到電腦上，以后上網(wǎng)時(shí)，電腦控制權(quán)就完全交給了“黑客”，他便能通過(guò)跟蹤擊鍵輸入等方式，竊取密碼、信用卡號(hào)碼等機(jī)密資料，而且還可以對(duì)電腦進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作。

　　二、木馬發(fā)作特性

　　在使用計(jì)算機(jī)的過(guò)程中如果您發(fā)現(xiàn):計(jì)算機(jī)反應(yīng)速度發(fā)生了明顯變化，硬盤(pán)在不停地讀寫(xiě),鼠標(biāo)不聽(tīng)使喚,鍵盤(pán)無(wú)效,自己的一些窗口在被關(guān)閉，新的窗口被莫名其妙地打開(kāi)，網(wǎng)絡(luò)傳輸指示燈一直在閃爍，沒(méi)有運(yùn)行大的程序，而系統(tǒng)卻越來(lái)越慢，系統(tǒng)資源站用很多，或運(yùn)行了某個(gè)程序沒(méi)有反映(此類(lèi)程序一般不大，從十幾k到幾百k都有)或在關(guān)閉某個(gè)程序時(shí)防火墻探測(cè)到有郵件發(fā)出……這些不正?，F(xiàn)象表明:您的計(jì)算機(jī)中了木馬病毒。

　　三、木馬的工作原理以及手動(dòng)查殺介紹

　　由于大多玩家對(duì)安全問(wèn)題了解不多，所以并不知道自己的計(jì)算機(jī)中了“木馬”該怎么樣清除。因此最關(guān)鍵的還是要知道“木馬”的工作原理，這樣就會(huì)很容易發(fā)現(xiàn)“木馬”。相信你看了這篇文章之后，就會(huì)成為一名查殺“木馬”的高手了。(如果成不了高手建議大家用皮筋打斑竹家玻璃，嘿嘿)

　　“木馬”程序會(huì)想盡一切辦法隱藏自己，主要途徑有：在任務(wù)欄中隱藏自己，這是最基本的只要把Form的Visible屬性設(shè)為False。ShowInTaskBar設(shè)為False，程序運(yùn)行時(shí)就不會(huì)出現(xiàn)在任務(wù)欄中了。在任務(wù)管理器中隱形：將程序設(shè)為“系統(tǒng)服務(wù)”可以很輕松地偽裝自己。

　　A、啟動(dòng)組類(lèi)(就是機(jī)器啟動(dòng)時(shí)運(yùn)行的文件組)

　　當(dāng)然木馬也會(huì)悄無(wú)聲息地啟動(dòng)，你當(dāng)然不會(huì)指望用戶(hù)每次啟動(dòng)后點(diǎn)擊“木馬”圖標(biāo)來(lái)運(yùn)行服務(wù)端，(沒(méi)有人會(huì)這么傻吧??)。“木馬”會(huì)在每次用戶(hù)啟動(dòng)時(shí)自動(dòng)裝載服務(wù)端，Windows系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載應(yīng)用程序的方法，“木馬”都會(huì)用上，如：?jiǎn)?dòng)組、win.ini、system.ini、注冊(cè)表等等都是“木馬”藏身的好地方。通過(guò)win.ini和system.ini來(lái)加載木馬。在Windows系統(tǒng)中，win.ini和system.ini這兩個(gè)系統(tǒng)配置文件都存放在C:windows目錄下，你可以直接用記事本打開(kāi)?？梢酝ㄟ^(guò)修改win.ini文件中windows節(jié)的“load=file.exe，run=file.exe”語(yǔ)句來(lái)達(dá)到木馬自動(dòng)加載的目的。此外在system.ini中的boot節(jié)，正常的情況下是“Shell=Explorer.exe”(Windows系統(tǒng)的圖形界面命令解釋器)。下面具體談?wù)?ldquo;木馬”是怎樣自動(dòng)加載的。

　　1、在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加載“木馬”程序的途徑，必須仔細(xì)留心它們。一般情況下，它們的等號(hào)后面什么都沒(méi)有，如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動(dòng)文件，你的計(jì)算機(jī)就可能中上“木馬”了。當(dāng)然你也得看清楚，因?yàn)楹枚?ldquo;木馬”，如“AOLTrojan木馬”，它把自身偽裝成command.exe文件，如果不注意可能不會(huì)發(fā)現(xiàn)它不是真正的系統(tǒng)啟動(dòng)文件。

　　通過(guò)c:windowswininit.ini文件。很多木馬程序在這里做一些小動(dòng)作，這種方法往往是在文件的安裝過(guò)程中被使用，程序安裝完成之后文件就立即執(zhí)行，與此同時(shí)安裝的原文件被Windows刪除干凈，因此隱蔽性非常強(qiáng)，例如在wininit.ini中如果Rename節(jié)有如下內(nèi)容:NUL=c:windowspicture.exe，該語(yǔ)句將c:windowspicture.exe發(fā)往NUL,這就意味著原來(lái)的文件pictrue.exe已經(jīng)被刪除，因此它運(yùn)行起來(lái)就格外隱蔽。

　　2、在system.ini文件中，在[BOOT]下面有個(gè)“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟著的那個(gè)程序就是“木馬”程序，就是說(shuō)你已經(jīng)中“木馬”了。

　　win.ini、system.ini文件可以通過(guò)“開(kāi)始”菜單里的“運(yùn)行”來(lái)查看。只要在“運(yùn)行”對(duì)話框中輸入“msconfig”,后點(diǎn)擊“確定”按鈕就行了。(這里大家一定要注意，如果你對(duì)計(jì)算機(jī)不是很了解，請(qǐng)不要輸入此命令或刪除里邊的文件，否則一切后果和損失自己負(fù)責(zé)。斑竹和本人不承擔(dān)任何責(zé)任。)

　　3、對(duì)于下面所列的文件也要勤加檢查，木馬們也可能隱藏在

　　C：\windows\winstart.bat和C:\windows\winnint.ini，還有Autoexec.bat

　　B、注冊(cè)表(注冊(cè)表就是注冊(cè)表，懂電腦的人一看就知道了)

　　1、從菜單中加載。如果自動(dòng)加載的文件是直接通過(guò)在Windows菜單上自定義添加的，一般都會(huì)放在主菜單的“開(kāi)始->程序->啟動(dòng)”處，在Win98資源管理器里的位置是“C:windowsstartmenuprograms啟動(dòng)”處。通過(guò)這種方式使文件自動(dòng)加載時(shí)，一般都會(huì)將其存放在注冊(cè)表中下述4個(gè)位置上：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

　　2、在注冊(cè)表中的情況最復(fù)雜，在點(diǎn)擊至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下，查看鍵值中有沒(méi)有自己不熟悉的自動(dòng)啟動(dòng)文件，擴(kuò)展名為EXE，這里切記：有的“木馬”程序生成的文件很像系統(tǒng)自身文件，想通過(guò)偽裝蒙混過(guò)關(guān)，如“AcidBatteryv1.0木馬”，它將注冊(cè)表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”，“木馬”程序與真正的Explorer之間只有“i”與“l”的差別。當(dāng)然在注冊(cè)表中還有很多地方都可以隱藏“木馬”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目錄下都有可能，最好的辦法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木馬”程序的文件名，再在整個(gè)注冊(cè)表中搜索即可。

　　此外在注冊(cè)表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

　　“1”“*”處，如果其中的“1”被修改為木馬，那么每次啟動(dòng)一個(gè)該可執(zhí)行文件時(shí)木馬就會(huì)啟動(dòng)一次，例如著名的冰河木馬就是將TXT文件的Notepad.exe改成!了它自己的啟動(dòng)文件，每次打開(kāi)記事本時(shí)就會(huì)自動(dòng)啟動(dòng)冰河木馬，做得非常隱蔽。

　　注冊(cè)表可以通過(guò)在“運(yùn)行”對(duì)話框中輸入“regedit”來(lái)查看。需要說(shuō)明的是，對(duì)系統(tǒng)注冊(cè)表進(jìn)行刪除修改操作前一定要將注冊(cè)表備份，因?yàn)閷?duì)注冊(cè)表操作有一定的危險(xiǎn)性，加上木馬的隱藏較隱蔽，可能會(huì)有一些誤操作，如果發(fā)現(xiàn)錯(cuò)誤，可以將備份的注冊(cè)表文件導(dǎo)入到系統(tǒng)中進(jìn)行恢復(fù)。(次命令同樣很危險(xiǎn)，如不懂計(jì)算機(jī)請(qǐng)不要嘗試。切記)

　　萬(wàn)變不離其宗，木馬啟動(dòng)都有一個(gè)方式，它只是在一個(gè)特定的情況下啟動(dòng)。所以平常多注意你的端口。一般的木馬默認(rèn)端口有

　　BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

　　在dos里輸入以下命令：netstat-an,就能看到自己的端口了，一般網(wǎng)絡(luò)常用端口有：21,23,25,53,80,110,139，如果你的端口還有其他的，你可要注意了，因?yàn)楝F(xiàn)在有許多木馬可以自己設(shè)定端口。(上面這些木馬的端口是以前的，由于時(shí)間和安全的關(guān)系現(xiàn)在好多新木馬的端口我不知道，也不敢去試，因?yàn)榧夹g(shù)更新的太快了，我跟不上了。55555555555555)

　　由于木馬的運(yùn)行常通過(guò)網(wǎng)絡(luò)的連接來(lái)實(shí)現(xiàn)的，因此如果發(fā)現(xiàn)可疑的網(wǎng)絡(luò)連接就可以推測(cè)木馬的存在，最簡(jiǎn)單的辦法是利用Windows自帶的Netstat命令來(lái)查看。一般情況下，如果沒(méi)有進(jìn)行任何上網(wǎng)操作，在MS-DOS窗口中用Netstat命令將看不到什么信息，此時(shí)可以使用“netstat-a”,“-a”選項(xiàng)用以顯示計(jì)算機(jī)中目前所有處于監(jiān)聽(tīng)狀態(tài)的端口。如果出現(xiàn)不明端口處于監(jiān)聽(tīng)狀態(tài)，而目前又沒(méi)有進(jìn)行任何網(wǎng)絡(luò)服務(wù)的操作，那么在監(jiān)聽(tīng)該端口的很可能是木馬。

　　在Win2000/XP中按下“CTL+ALT+DEL”，進(jìn)入任務(wù)管理器，就可看到系統(tǒng)正在運(yùn)行的全部進(jìn)程，一一清查即可發(fā)現(xiàn)木馬的活動(dòng)進(jìn)程。

　　在Win98下，查找進(jìn)程的方法不那么方便，但有一些查找進(jìn)程的工具可供使用。通過(guò)查看系統(tǒng)進(jìn)程這種方法來(lái)檢測(cè)木馬非常簡(jiǎn)便易行，但是對(duì)系統(tǒng)必須熟悉，因?yàn)閃indows系統(tǒng)在運(yùn)行時(shí)本身就有一些我們不是很熟悉的進(jìn)程在運(yùn)行著，因此這個(gè)時(shí)候一定要小心操作，木馬還是可以通過(guò)這種方法被檢測(cè)出來(lái)

　　很多木馬病毒都是通過(guò)綁定在其他的軟件或文件中來(lái)實(shí)現(xiàn)傳播的，一旦運(yùn)行了這個(gè)被綁定的軟件或文件就會(huì)被感染，因此在下載的時(shí)候需要特別注意，一般推薦去一些信譽(yù)比較高的站點(diǎn)。在軟件安裝之前一定要用反病毒軟件檢查一下

　　1、來(lái)自網(wǎng)絡(luò)的攻擊手段越來(lái)越多了，一些帶木馬的惡意網(wǎng)頁(yè)會(huì)利用軟件或系統(tǒng)操作平臺(tái)等的安全漏洞，通過(guò)執(zhí)行嵌入在網(wǎng)頁(yè)HTML超文本標(biāo)記語(yǔ)言?xún)?nèi)的JavaApplet小應(yīng)用程序、javascript腳本語(yǔ)言程序、ActiveX軟件部件交互技術(shù)支持可自動(dòng)執(zhí)行的代碼程序，強(qiáng)行修改用戶(hù)操作系統(tǒng)的注冊(cè)表及系統(tǒng)實(shí)用配置程序，從而達(dá)到非法控制系統(tǒng)資源、破壞數(shù)據(jù)、格式化硬盤(pán)、感染木馬程序、盜取用戶(hù)數(shù)據(jù)資料等目的。

　　目前來(lái)自網(wǎng)頁(yè)的攻擊分為兩種：一種是通過(guò)編輯的腳本程序修改IE瀏覽器;另外一種是直接破壞Windows系統(tǒng)。前者一般會(huì)修改IE瀏覽器的標(biāo)題欄、默認(rèn)主頁(yè)或直接將木馬“種”在你的機(jī)器里等等;后者是直接鎖定你的鍵盤(pán)、鼠標(biāo)等輸入設(shè)備然后對(duì)系統(tǒng)進(jìn)行破壞。

　　(作者插言)：還好目前盜取千年用戶(hù)名和密碼的“木馬”功能還僅僅是偷盜行為，沒(méi)有發(fā)展成破壞行為。要不然號(hào)被盜了，在順便把硬盤(pán)被格式化了。那樣想第一時(shí)間找回密碼就都沒(méi)可能。希望這種情況不要發(fā)生。(啊門(mén)我彌佗佛)

　　下邊是正題了，大家看仔細(xì)了!

　　假如您收到的郵件附件中有一個(gè)看起來(lái)是這樣的文件(或者貌似這類(lèi)文件，總之是特別誘人的文件，而且格式還很安全。)：QQ靚號(hào)放送.txt，您是不是認(rèn)為它肯定是純文本文件?我要告訴您，不一定!它的實(shí)際文件名可以是QQ靚號(hào)放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

　　{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊(cè)表里是HTML文件關(guān)聯(lián)的意思。但是存成文件名的時(shí)候它并不會(huì)顯現(xiàn)出來(lái)，您看到的就是個(gè).txt文件，這個(gè)文件實(shí)際上等同于QQ靚號(hào)放送.txt.html。那么直接打開(kāi)這個(gè)文件為什么有危險(xiǎn)呢?請(qǐng)看如果這個(gè)文件的內(nèi)容如下：

　　您可能以為它會(huì)調(diào)用記事本來(lái)運(yùn)行，可是如果您雙擊它，結(jié)果它卻調(diào)用了HTML來(lái)運(yùn)行，并且自動(dòng)在后臺(tái)開(kāi)始通過(guò)網(wǎng)頁(yè)加載木馬文件。同時(shí)顯示“正在打開(kāi)文件”之類(lèi)的這樣一個(gè)對(duì)話框來(lái)欺騙您。您看隨意打開(kāi)附件中的.txt的危險(xiǎn)夠大了吧?

　　欺騙實(shí)現(xiàn)原理：當(dāng)您雙擊這個(gè)偽裝起來(lái)的.txt時(shí)候，由于真正文件擴(kuò)展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就會(huì)以html文件的形式運(yùn)行，這是它能運(yùn)行起來(lái)的先決條件。

　　在某些惡意網(wǎng)頁(yè)木馬中還會(huì)調(diào)用“WScript”。

　　WScript全稱(chēng)WindowsScriptingHost，它是Win98新加進(jìn)的功能,是一種批次語(yǔ)言/自動(dòng)執(zhí)行工具——它所對(duì)應(yīng)的程序“WScript.exe”是一個(gè)腳本語(yǔ)言解釋器，位于c:\WINDOWS下，正是它使得腳本可以被執(zhí)行，就象執(zhí)行批處理一樣。在WindowsScriptingHost腳本環(huán)境里，預(yù)定義了一些對(duì)象，通過(guò)它自帶的幾個(gè)內(nèi)置對(duì)象，可以實(shí)現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫(xiě)注冊(cè)表等功能。

　　在Windows系統(tǒng)中，勾子(hook)是一種特殊的消息處理機(jī)制。勾子可以監(jiān)視系統(tǒng)或進(jìn)程中的各種事件消息，截獲發(fā)往目標(biāo)窗口的消息并進(jìn)行處理。這樣，我們就可以在系統(tǒng)中安裝自定義的勾子，監(jiān)視系統(tǒng)中特定事件的發(fā)生，完成特定的功能，比如截獲鍵盤(pán)、鼠標(biāo)的輸入，屏幕取詞，日志監(jiān)視等等?？梢?jiàn)，利用勾子可以實(shí)現(xiàn)許多特殊而有用的功能。因此，對(duì)于高級(jí)編程人員來(lái)說(shuō)，掌握勾子的編程方法是很有必要的。

　　大家知道了“木馬”的工作原理，查殺“木馬”就變得很容易，如果發(fā)現(xiàn)有“木馬”存在，最安全也是最有效的方法就是馬上將計(jì)算機(jī)與網(wǎng)絡(luò)斷開(kāi)，防止黑客通過(guò)網(wǎng)絡(luò)對(duì)你進(jìn)行攻擊。然后在根據(jù)實(shí)際情況進(jìn)行處理。
看過(guò)“木馬電腦病毒介紹”人還看了：

1.詳細(xì)的十大電腦病毒介紹

2.電腦病毒木馬

3.計(jì)算機(jī)病毒的具體介紹

4.典型計(jì)算機(jī)病毒的相關(guān)介紹