木馬病毒:計算機惡意代碼-中文百科頻道

病毒簡介

什麼是木馬（Trojan）

木馬（Trojan）這個名字來源于古希臘傳說(荷馬史詩中木馬計的故事,Trojan一詞的本意是特洛伊的,即代指特洛伊木馬,也就是木馬計的故事)。

“木馬”與計算機網絡中常常要用到的遠程控制軟件有些相似，但由于遠程控制軟件是“善意”的控制，因此通常不具有隐蔽性；“木馬”則完全相反，木馬要達到的是“偷竊”性的遠程控制，如果沒有很強的隐蔽性的話，那就是“毫無價值”的。

它是指通過一段特定的程序（木馬程序）來控制另一台計算機。木馬通常有兩個可執行程序：一個是客戶端，即控制端，另一個是服務端，即被控制端。植入被種者電腦的是“服務器”部分，而所謂的“黑客”正是利用“控制器”進入運行了“服務器”的電腦。運行了木馬程序的“服務器”以後，被種者的電腦就會有一個或幾個端口被打開，使黑客可以利用這些打開的端口進入電腦系統，安全和個人隐私也就全無保障了。木馬的設計者為了防止木馬被發現，而采用多種手段隐藏木馬。木馬的服務一旦運行并被控制端連接，其控制端将享有服務端的大部分操作權限，例如給計算機增加口令，浏覽、移動、複制、删除文件，修改注冊表，更改計算機配置等。

随着科技的不斷進步,網絡環境呈現多元化發展,一些網絡木馬病毒的傳播和感染也發生了很大的變化。木馬病毒一旦進入到目标計算機後,将面臨數據丢失、機密洩露的危險。尤其是一些木馬程序采用了極其狡猾的手段來隐蔽自己，使普通用戶很難在中毒後發覺。

發展曆史

木馬程序技術發展可以說非常迅速。主要是有些年輕人出于好奇，或是急于顯示自己實力，不斷改進木馬程序的編寫。至今木馬程序已經經曆了六代的改進：

第一代，是最原始的木馬程序。主要是簡單的密碼竊取，通過電子郵件發送信息等，具備了木馬最基本的功能。

第二代，在技術上有了很大的進步，冰河是中國木馬的典型代表之一。

第三代，主要改進在數據傳遞技術方面，出現了ICMP等類型的木馬，利用畸形報文傳遞數據，增加了殺毒軟件查殺識别的難度。

第四代，在進程隐藏方面有了很大改動，采用了内核插入式的嵌入方式，利用遠程插入線程技術，嵌入DLL線程。或者挂接PSAPI，實現木馬程序的隐藏，甚至在WindowsNT/2000下，都達到了良好的隐藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬。

第五代，驅動級木馬。驅動級木馬多數都使用了大量的Rootkit技術來達到在深度隐藏的效果，并深入到内核空間的，感染後針對殺毒軟件和網絡防火牆進行攻擊，可将系統SSDT初始化，導緻殺毒防火牆失去效應。有的驅動級木馬可駐留BIOS，并且很難查殺。

第六代，随着身份認證UsbKey和殺毒軟件主動防禦的興起，黏蟲技術類型和特殊反顯技術類型木馬逐漸開始系統化。前者主要以盜取和篡改用戶敏感信息為主，後者以動态口令和硬證書攻擊為主。PassCopy和暗黑蜘蛛俠是這類木馬的代表。

木馬種類

網遊木馬

随着網絡在線遊戲的普及和升溫，中國擁有規模龐大的網遊玩家。網絡遊戲中的金錢、裝備等虛拟财富與現實财富之間的界限越來越模糊。與此同時，以盜取網遊帳号密碼為目的的木馬病毒也随之發展泛濫起來。

網絡遊戲木馬通常采用記錄用戶鍵盤輸入、Hook遊戲進程API函數等方法獲取用戶的密碼和帳号。竊取到的信息一般通過發送電子郵件或向遠程腳本程序提交的方式發送給木馬作者。

網絡遊戲木馬的種類和數量，在國産木馬病毒中都首屈一指。流行的網絡遊戲無一不受網遊木馬的威脅。一款新遊戲正式發布後，往往在一到兩個星期内，就會有相應的木馬程序被制作出來。大量的木馬生成器和黑客網站的公開銷售也是網遊木馬泛濫的原因之一。

網銀木馬

網銀木馬是針對網上交易系統編寫的木馬病毒，其目的是盜取用戶的卡号、密碼，甚至安全證書。此類木馬種類數量雖然比不上網遊木馬，但它的危害更加直接，受害用戶的損失更加慘重。

網銀木馬通常針對性較強，木馬作者可能首先對某銀行的網上交易系統進行仔細分析，然後針對安全薄弱環節編寫病毒程序。2013年，安全軟件電腦管家截獲網銀木馬最新變種“弼馬溫”，弼馬溫病毒能夠毫無痕迹的修改支付界面，使用戶根本無法察覺。通過不良網站提供假QVOD下載地址進行廣泛傳播，當用戶下載這一挂馬播放器文件安裝後就會中木馬，該病毒運行後即開始監視用戶網絡交易，屏蔽餘額支付和快捷支付，強制用戶使用網銀，并借機篡改訂單，盜取财産。

随着中國網上交易的普及，受到外來網銀木馬威脅的用戶也在不斷增加。

下載類

這種木馬程序的體積一般很小，其功能是從網絡上下載其他病毒程序或安裝廣告軟件。由于體積很小，下載類木馬更容易傳播，傳播速度也更快。通常功能強大、體積也很大的後門類病毒，如“灰鴿子”、“黑洞”等，傳播時都單獨編寫一個小巧的下載型木馬，用戶中毒後會把後門主程序下載到本機運行。

代理類

用戶感染代理類木馬後，會在本機開啟HTTP、SOCKS等代理服務功能。黑客把受感染計算機作為跳闆，以被感染用戶的身份進行黑客活動，達到隐藏自己的目的。

FTP木馬

FTP型木馬打開被控制計算機的21号端口(FTP所使用的默認端口)，使每一個人都可以用一個FTP客戶端程序來不用密碼連接到受控制端計算機，并且可以進行最高權限的上傳和下載，竊取受害者的機密文件。新FTP木馬還加上了密碼功能，這樣，隻有攻擊者本人才知道正确的密碼，從而進入對方計算機。

通訊軟件類

國内即時通訊軟件百花齊放。QQ、新浪UC、網易泡泡、盛大圈圈……網上聊天的用戶群十分龐大。常見的即時通訊類木馬一般有3種：

a、發送消息型

通過即時通訊軟件自動發送含有惡意網址的消息，目的在于讓收到消息的用戶點擊網址中毒，用戶中毒後又會向更多好友發送病毒消息。此類病毒常用技術是搜索聊天窗口，進而控制該窗口自動發送文本内容。發送消息型木馬常常充當網遊木馬的廣告，如“武漢男生2005”木馬，可以通過MSN、QQ、UC等多種聊天軟件發送帶毒網址，其主要功能是盜取傳奇遊戲的帳号和密碼。

b、盜号型

主要目标在于即時通訊軟件的登錄帳号和密碼。工作原理和網遊木馬類似。病毒作者盜得他人帳号後，可能偷窺聊天記錄等隐私内容，在各種通訊軟件内向好友發送不良信息、廣告推銷等語句，或将帳号賣掉賺取利潤。

c、傳播自身型

2005年初，“MSN性感雞”等通過MSN傳播的蠕蟲泛濫了一陣之後，MSN推出新版本，禁止用戶傳送可執行文件。2005年上半年，“QQ龜”和“QQ愛蟲”這兩個國産病毒通過QQ聊天軟件發送自身進行傳播，感染用戶數量極大，在江民公司統計的2005年上半年十大病毒排行榜上分列第一和第四名。從技術角度分析，發送文件類的QQ蠕蟲是以前發送消息類QQ木馬的進化，采用的基本技術都是搜尋到聊天窗口後，對聊天窗口進行控制，來達到發送文件或消息的目的。隻不過發送文件的操作比發送消息複雜很多。

移動通信技術進入5G時代,基于手機的應用層出不窮,基于WIFI的網絡訪問日漸增多,手機中存儲大量個人及企業信息,甚至國家機密。但是,采用WIFI進行網絡訪問,出現越來越多的數據洩露問題,造成了用戶個人數據的丢失、國家及企業機密的洩露,對國防、企業、個人私密等造成了巨大損失,因此,移動端的數據洩露已經成為研究的焦點。

網頁點擊類

網頁點擊類木馬會惡意模拟用戶點擊廣告等動作，在短時間内可以産生數以萬計的點擊量。病毒作者的編寫目的一般是為了賺取高額的廣告推廣費用。此類病毒的技術簡單，一般隻是向服務器發送HTTP GET請求。

防禦

木馬查殺（查殺軟件很多，有些病毒軟件都能殺木馬）

防火牆（分硬件和軟件）家裡面的就用軟件好了。如果是公司或其他地方就硬件和軟件一起用，基本能防禦大部分木馬，但是現在的軟件都不是萬能的，還要學點專業知識。

現在高手也很多，隻要你不随便訪問來曆不明的網站，使用來曆不明的軟件（很多盜版或破解軟件都帶木馬，這個看你自己經驗去區分），如果你都做到了，木馬，病毒。就不容易進入你的電腦了。

删除方式

1、禁用系統還原（WindowsMe/XP）

如果您運行的是WindowsM或WindowsXP，建議您暫時關閉“系統還原”。此功能默認情況下是啟用的，一旦計算機中的文件被破壞，Windows可使用該功能将其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows止包括防病毒程序在内的外部程序修改系統還原。因此，防病毒程序或工具無法删除System Restore文件夾中的威脅。這樣，系統還原就可能将受感染文件還原到計算機上，即使您已經清除了所有其他位置的受感染文件。

此外，病毒掃描可能還會檢測到System Restore文件夾中的威脅，即使您已将該威脅删除。

注意：蠕蟲移除幹淨後，請按照上述文章所述恢複系統還原的設置。

2、将計算機重啟到安全模式或者VGA模式

關閉計算機，等待至少30秒鐘後重新啟動到安全模式或者VGA模式

Windows95/98/Me/2000/XP用戶：将計算機重啟到安全模式。所有Windows32-bit作系統，除了WindowsNT，可以被重啟到安全模式。更多信息請參閱文檔如何以安全模式啟動計算機。

WindowsNT4用戶：将計算機重啟到VGA模式。

掃描和删除受感染文件啟動防病毒程序，并确保已将其配置為掃描所有文件。運行完整的系統掃描。如果檢測到任何文件被Download.Trojan感染，請單擊“删除”。如有必要，清除Internet Explorer曆史和文件。如果該程序是在Temporary Internet Files文件夾中的壓縮文件内檢測到的，請執行以下步驟：

啟動Internet Explorer。單擊“工具”>“Internet選項”。單擊“常規”選項卡“Internet臨時文件”部分中，單擊“删除文件”，然後在出現提示後單擊“确定”。在“曆史”部分，單擊“清除曆史”，然後在出現提示後單擊“是”。

3、關于病毒的危害，Download.Trojan會執行以下作：

進入其作者創建的特定網站或FTP站點并試圖下載新的特洛伊木馬、病毒、蠕蟲或其組件。

完成下載後，特洛伊木馬程序将執行它們。

藏身之地

木馬是一種基于遠程控制的病毒程序，該程序具有很強的隐蔽性和危害性，它可以在人不知鬼不覺的狀态下控制你或者監視你。下面就是木馬潛伏的詭招，看了以後不要忘記采取絕招來對付這些損招。

1、集成到程序中

其實木馬也是一個服務器――客戶端程序，它為了不讓用戶能輕易地把它删除，就常常集成到程序裡，一旦用戶激活木馬程序，那麼木馬文件和某一應用程序捆綁在一起，然後上傳到服務端覆蓋原文件，這樣即使木馬被删除了，隻要運行捆綁了木馬的應用程序，木馬又會被安裝上去了。綁定到某一應用程序中，如綁定到系統文件，那麼每一次Windows啟動均會啟動木馬。

2、隐藏在配置文件中

木馬實在是太狡猾，知道菜鳥們平時使用的是圖形化界面的操作系統，對于那些已經不太重要的配置文件大多數是不聞不問了，這正好給木馬提供了一個藏身之處。而且利用配置文件的特殊作用，木馬很容易就能在大家的計算機中運行、發作，從而偷窺或者監視大家。不過，這種方式不是很隐蔽，容易被發現，所以在Autoexec.bat和Config.sys中加載木馬程序的并不多見，但也不能因此而掉以輕心。

3、潛伏在Win.ini中

木馬要想達到控制或者監視計算機的目的，必須要運行，然而沒有人會傻到自己在自己的計算機中運行這個該死的木馬。當然，木馬也早有心理準備，知道人類是高智商的動物，不會幫助它工作的，因此它必須找一個既安全又能在系統啟動時自動運行的地方，于是潛伏在Win.ini中是木馬感覺比較惬意的地方。大家不妨打開Win.ini來看看，在它的[windows]字段中有啟動命令“load=”和“run=”，在一般情況下“=”後面是空白的，如果有後跟程序，比方說是這個樣子：run=c：windowsfile.Exeload=c：windowsfile.exe。這時你就要小心了，這個file.exe很可能是木馬。

4、僞裝在普通文件中

這個方法出現的比較晚，不過很流行，對于不熟練的windows操作者，很容易上當。具體方法是把可執行文件僞裝成圖片或文本——在程序中把圖标改成Windows的默認圖片圖标，再把文件名改為*.jpg.exe，由于Win98默認設置是“不顯示已知的文件後綴名”，文件将會顯示為*.jpg，不注意的人一點這個圖标就中木馬了（如果你在程序中嵌一張圖片就更完美了）。

5、内置到注冊表中

上面的方法讓木馬着實舒服了一陣，既沒有人能找到它，又能自動運行，真是快哉！然而好景不長，人類很快就把它的馬腳揪了出來，并對它進行了嚴厲的懲罰！但是它還心有不甘，總結了失敗教訓後，認為上面的藏身之處很容易找，注冊表！的确注冊表由于比較複雜，木馬常常喜歡藏在這裡快活，趕快檢查一下，有什麼程序在其下，睜大眼睛仔細看了，别放過木馬：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值；HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值。

6、在驅動程序中藏身

木馬真是無處不在呀！什麼地方有空子，它就往哪裡鑽！這不，Windows安裝目錄下的System.ini也是木馬喜歡隐蔽的地方。還是小心點，打開這個文件看看，它與正常文件有什麼不同，在該文件的[boot]字段中，是不是有這樣的内容，那就是shell=Explorer.exe file.exe，如果确實有這樣的内容，那你就不幸了，因為這裡的file.exe就是木馬服務端程序！另外，在System.ini中的[386Enh]字段，要注意檢查在此段内的“driver=路徑程序名”，這裡也有可能被木馬所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]這三個字段，這些段也是起到加載驅動程序的作用，但也是增添木馬程序的好場所，你該知道也要注意這裡。

7、隐形于啟動組中

有時木馬并不在乎自己的行蹤，它更注意的是能否自動加載到系統中，因為一旦木馬加載到系統中，任你用什麼方法你都無法将它趕跑（哎，這木馬臉皮也真是太厚），因此按照這個邏輯，啟動組也是木馬可以藏身的好地方，因為這裡的确是自動加載運行的好場所。假設啟動組對應的文件夾為：

C:windowsstartmenuprogramsstartup

在注冊表中的位置：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersStartup=“C：windowsstartmenuprogramsstartup”

要注意經常檢查啟動組。

8、在Winstart.bat中

按照上面的邏輯理論，凡是利于木馬能自動加載的地方，木馬都喜歡待。這不，Winstart.bat也是一個能自動被Windows加載運行的文件，它多數情況下為應用程序及Windows自動生成，在執行了Win.com并加載了多數驅動程序之後開始執行（這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運行，危險由此而來。

9、捆綁在啟動文件中

即應用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，将制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。

10、設置在超級連接中

木馬的主人在網頁上放置惡意代碼，引誘用戶點擊，用戶點擊的結果不言而喻：開門揖盜！奉勸不要随便點擊網頁上的鍊接，除非你了解它，信任它。

僞裝方式

鑒于木馬病毒的危害性，很多人對木馬知識還是有一定了解的，這對木馬的傳播起了一定的抑制作用，這是木馬設計者所不願見到的，因此他們開發了多種功能來僞裝木馬，以達到降低用戶警覺，欺騙用戶的目的。

修改圖标

當你在E-MAIL的附件中看到這個圖标時，是否會認為這是個文本文件呢?但是我不得不告訴你,這也有可能是個木馬程序，已經有木馬可以将木馬服務端程序的圖标改成HTML,TXT,ZIP等各種文件的圖标，這有相當大的迷惑性，但是提供這種功能的木馬還不多見，并且這種僞裝也不是無懈可擊的，所以不必整天提心吊膽，疑神疑鬼的。

捆綁文件

這種僞裝手段是将木馬捆綁到一個安裝程序上，當安裝程序運行時，木馬在用戶毫無察覺的情況下，偷偷的進入了系統。至于被捆綁的文件一般是可執行文件（即EXE,COM一類的文件）。

出錯顯示

有一定木馬知識的人都知道，如果打開一個文件，沒有任何反應，這很可能就是個木馬程序，木馬的設計者也意識到了這個缺陷，所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時，會彈出一個錯誤提示框（這當然是假的），錯誤内容可自由定義，大多會定制成一些諸如“文件已破壞，無法打開的！”之類的信息，當服務端用戶信以為真時，木馬卻悄悄侵入了系統。

定制端口

很多老式的木馬端口都是固定的，這給判斷是否感染了木馬帶來了方便，隻要查一下特定的端口就知道感染了什麼木馬，所以很多新式的木馬都加入了定制端口的功能，控制端用戶可以在1024---65535之間任選一個端口作為木馬端口（一般不選1024以下的端口），這樣就給判斷所感染木馬類型帶來了麻煩。

自我銷毀

這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件後，木馬會将自己拷貝到WINDOWS的系統文件夾中（C:WINDOWS或C:WINDOWSSYSTEM目錄下），一般來說原木馬文件和系統文件夾中的木馬文件的大小是一樣的（捆綁文件的木馬除外），那麼中了木馬的朋友隻要在收到的信件和下載的軟件中找到原木馬文件，然後根據原木馬的大小去系統文件夾找相同大小的文件，判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後，原木馬文件将自動銷毀，這樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助下，就很難删除木馬了。

木馬更名

安裝到系統文件夾中的木馬的文件名一般是固定的，那麼隻要根據一些查殺木馬的文章，按圖索骥在系統文件夾查找特定的文件，就可以斷定中了什麼木馬。所以有很多木馬都允許控制端用戶自由定制安裝後的木馬文件名，這樣很難判斷所感染的木馬類型了。