標籤: 暫無標籤

木馬程序,通常稱為木馬,惡意代碼之一類,是指潛伏在電腦中,可受外部用戶控制以竊取本機信息或者控制權的程序。它的全稱叫特洛伊木馬,英文叫做「Trojan horse」,其名稱取自希臘神話的特洛伊木馬記。 木馬程序危害在於多數有惡意企圖,例如佔用系統資源,降低電腦效能,危害本機信息安全(盜取QQ帳號、遊戲帳號甚至銀行帳號),將本機作為工具來攻擊其他設備等。

1簡介

「木馬」程序是比較流行的病毒文件,與一般的病毒不同,
木馬病毒

  木馬病毒

它不會自我繁殖,也並不「刻意」地去感染其他文件,它通過將自身偽裝吸引用戶下載執行,向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種者的電腦。

2定義

木馬病毒掃描

  木馬病毒掃描

木馬(Trojan)這個名字來源於古希臘傳說(荷馬史詩中木馬計的故事,Trojan一詞的本意是特洛伊的,即代指特洛伊木馬,也就是木馬計的故事)。
木馬會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的辦法。只要把Form的Visible屬性設為False,ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為「系統服務」可以很輕鬆地偽裝自己。當然它也會悄無聲息地啟動,黑客當然不會指望用戶每次啟動後點擊「木馬」圖標來運行服務端,「木馬」會在每次用戶啟動時自動裝載。Windows系統啟動時自動載入應用程序的方法,「木馬」都會用上,如:啟動組、Win.ini、System.ini、註冊表等都是「木馬」藏身的好地方。
它是指通過一段特定的程序(木馬程序)來控制另一台計算機。木馬通常有兩個可執行程序:一個是客戶端,即控制端,另一個是服務端,即被控制端。植入被種者電腦的是「伺服器」部分,而所謂的「黑客」正是利用「控制器」進入運行了「伺服器」的電腦。運行了木馬程序的「伺服器」以後,被種者的電腦就會有一個或幾個埠被打開,使黑客可以利用這些打開的埠進入電腦系統,安全和個人隱私也就全無保障了! 木馬的設計者為了防止木馬被發現,而採用多種手段隱藏木馬。木馬的服務一旦運行並被控制端連接,其控制端將享有服務端的大部分操作許可權,例如給計算機增加口令,瀏覽、移動、複製、刪除文件,修改註冊表,更改計算機配置等。
隨著病毒編寫技術的發展,木馬程序對用戶的威脅越來越大,尤其是一些木馬程序採用了極其狡猾的手段來隱蔽自己,使普通用戶很難在中毒后發覺。

3歷史

最初網路還處於以UNIX平台為主的時期,木馬就產生了,當時的木馬程序的功能相對簡單,往往是將
偽裝的木馬病毒

  偽裝的木馬病毒

一段程序嵌入到系統文件中,用跳轉指令來執行一些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網路和編程知識。
而後隨著WINDOWS平台的日益普及,一些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。
所以木馬發展到今天,已經無所不用其極,一旦被木馬控制,電腦將毫無秘密可言。

4特徵

木馬是病毒的一種,同時木馬程序又有許多種不同的種類,那是受不同的人、不同時期開發來區別的,如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等這些都屬於木馬病毒種類。綜合現在流行的木馬程序,它們都有以下基本特徵:
自動運行性
它是一個當你系統啟動時即自動運行的程序,所以它必須潛入在你的啟動配置文件中,如win.ini、system.ini、winstart.bat以及啟動組等文件之中。
自動恢復功能
很多的木馬程序中的功能模塊已不再是由單一的文件組成,而是具有多重備份,可以相互恢復。
特殊性
通常的木馬的功能都是十分特殊的,除了普通的文件操作以外,還有些木馬具有搜索cache中的口令、設置口令、掃描目標機器人的IP地址、進行鍵盤記錄、遠程註冊表的操作、以及鎖定滑鼠等功能,上面所講的遠程控制軟體的功能當然不會有的,畢竟遠程控制軟體是用來控制遠程機器,方便自己操作而已,而不是用來黑對方的機器的。
修改圖標
當在E-MAIL的附件中看到文本圖標時,是否會認為這是個文本文件呢?其實這也有可能是個木馬程序,已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷惑性,但是提供這種功能的木馬還不多見,並且這種偽裝也不是無懈可擊的。
出錯顯示
有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序, 木馬的設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務 端用戶打開木馬程序時,會彈出一個錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成一些諸如「文件已破壞,無法打開的!」之類的信息,當服務端用戶信以為真時,木馬卻悄悄侵入了系統。
自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件后,木馬會將自己拷貝到WINDOWS的系統文件夾中(C:\\WINDOWS或C:\\WINDOWS\\SYSTEM目錄下),一般來說 原木馬文件和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麼中了木馬 的朋友只要收到的信件和下載的軟體中找到原木馬文件,然後根據原木馬的大小去系統 文件夾找相同大小的文件, 判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後,原木馬文件將自動銷毀,這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。

木馬更名

安裝到系統文件夾中的木馬的文件名一般是固定的,那麼只要根據一些查殺木馬的文章,按 圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼木馬。所以有很多木馬都允許控 制端用戶自由定製安裝后的木馬文件名,這樣很難判斷所感染的木馬類型了。

5傳播方式

1.通過郵件附件、程序下載等形式傳播:不要隨意使用來歷不明的程序,因為可能被修改過含有木馬。
2.通過偽裝網頁登錄過程,騙取用戶信息進而傳播木馬
3.通過攻擊系統安全漏洞傳播木馬:大量黑客使用專門的黑客工具來傳播木馬。

6表現

1.出現與系統現有文件類似的文件名或進程名。
2.運用msinfo32.exe,發現在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等項中出現不明鍵值。
3.有可疑進程訪問網路。
4.有若干Rundll32.exe進程

7識別

1.集成到程序中
其實木馬也是一個伺服器-客戶端程序,它為了不讓用戶能輕易地把它刪除,就常常集成到程序里,一旦用戶激活木馬程序,那麼木馬文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。綁定到某一應用程序中,如綁定到系統文件,那麼每一次Windows啟動均會啟動木馬。
2.隱藏在配置文件中
利用配置文件的特殊作用,木馬很容易就能在大家的計算機中運行、發作,從而偷窺或者監視大家。不過,這種方式不是很隱蔽,容易被發現,所以在Autoexec.bat和Config.sys中載入木馬程序的並不多見,但也不能因此而掉以輕心哦。
3.潛伏在Win.ini中
木馬要想達到控制或者監視計算機的目的,必須要運行,然而沒有人會傻到自己在自己的計算機中運行這個該死的木馬。當然,木馬也早有心理準備,知道人類是高智商的動物,不會幫助它工作的,因此它必須找一個既安全又能在系統啟動時自動運行的地方,於是潛伏在Win.ini中是木馬感覺比較愜意的地方。大家不妨打開Win.ini來看看,在它的[windows]欄位中有啟動命令「load=」和「run=」,在一般情況下「=」後面是空白的,如果有後跟程序,比方說是這個樣子:run=c:\windows\file.exeload=c:\windows\file.exe,這個file.exe很可能是木馬哦。
4.偽裝在普通文件中
這個方法出現的比較晚,不過很流行,對於不熟練的windows操作者,很容易上當。具體方法是把可執行文件偽裝成圖片或文本----在程序中把圖標改成Windows的默認圖片圖標, 再把文件名改為*.jpg.exe, 由於Win98默認設置是"不顯示已知的文件後綴名",文件將會顯示為*.jpg, 不注意的人一點這個圖標就中木馬了。
5.內置到註冊表中
上面的方法讓木馬著實舒服了一陣,既沒有人能找到它,又能自動運行,真是快哉!然而好景不長,人類很快就把它的馬腳揪了出來,並對它進行了嚴厲的懲罰!但是它還心有不甘,總結了失敗教訓后,認為上面的藏身之處很容易找,必須躲在不容易被人發現的地方,於是它想到了註冊表!的確註冊表由於比較複雜,木馬常常喜歡藏在這裡快活,趕快檢查一下,有什麼程序在其下,睜大眼睛仔細看了,別放過木馬哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值。
6.在System.ini中藏身
Windows安裝目錄下的System.ini是木馬喜歡隱蔽的地方。打開文件看看,它與正常文件有什麼不同,在該文件的[boot]欄位中,是不是有這樣的內容,那就是shell=Explorer.exe file.exe,如果確實有這樣的內容,那你就不幸了,因為這裡的file.exe就是木馬服務端程序!另外,在System.ini中的[386Enh]欄位,要注意檢查在此段內的「driver=路徑\程序名」,這裡也有可能被木馬所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]這三個欄位,這些段也是起到載入驅動程序的作用,但也是增添木馬程序的好場所,你該知道也要注意這裡嘍。
7.隱形於啟動組中
有時木馬並不在乎自己的行蹤,它更注意的是能否自動載入到系統中,因為一旦木馬載入到系統中,任你用什麼方法你都無法將它趕跑(哎,這木馬臉皮也真是太厚),因此按照這個邏輯,啟動組也是木馬可以藏身的好地方,因為這裡的確是自動載入運行的好場所。動組對應的文件夾為:C:\windows\start menu\programs\startup,在註冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意經常檢查啟動組哦!
8.隱蔽在Winstart.bat中
按照上面的邏輯理論,凡是利於木馬能自動載入的地方,木馬都喜歡呆。這不,Winstart.bat也是一個能自動被Windows載入運行的文件,它多數情況下為應用程序及Windows自動生成,在執行了Win. com並載入了多數驅動程序之後開始執行(這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由於Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被載入運行,危險由此而來。
9.捆綁在啟動文件中
即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將製作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。
10.設置在超級連接中
木馬的主人在網頁上放置惡意代碼,引誘用戶點擊,用戶點擊的結果不言而喻:開門揖盜!奉勸不要隨便點擊網頁上的鏈接。

8原理

在Win.ini文件中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程序的途徑。一般情況下,它們的等號後面應該什麼都沒有,如果發現後面跟有路徑與文件名不是啟動文件,計算機就可能中「木馬」了。當然好多「木馬」,如「AOLTrojan木馬」,它把自身偽裝成command.exe(真正的系統文件為command. com)文件,如果不注意可能不會發現它不是真正的系統啟動文件(特別是在Windows窗口下)。
在System.ini文件中,在下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell=explorer.exe程序名」,那麼後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。註冊表中的情況最複雜,通過regedit命令打開註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這裡切記:有的「木馬」程序生成的文件很像系統自身文件,想通過偽裝矇混過關,如「AcidBatteryv1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun」下的Explorer鍵值改為Explorer=「C:WINDOWSexpiorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在註冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun」、「HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」下找到「木馬」程序的文件名,再在整個註冊表中搜索即可。

9危害

危害本機信息安全:木馬程序多數有惡意企圖,例如盜取QQ帳號、遊戲帳號甚至銀行帳號,將本機作為工具來攻擊其他設備等;佔用系統資源,降低電腦效能。

10措施

(一)木馬查殺
基本能防禦大部分木馬,但是軟體都不是萬能的,還要學點專業知識,有了這些,你的電腦就安全多了。
高手也很多,只要你不隨便訪問來歷不明的網站,使用來歷不明的軟體(很多盜版或破解軟體都帶木馬,這個看你自己經驗去區分),如果你都做到了,木馬,病毒。就不容易進入你的電腦了。
(二)刪除木馬病毒
可以下載卡巴斯基(建議先卸載其他殺毒軟體)綠鷹PC萬能精靈,也可以下載瑞星殺毒軟體(建議先卸載其他殺毒軟體)
1.禁用系統還原(Windows Me/XP)
如果您運行的是Windows Me或Windows XP,建議您暫時關閉「系統還原」。此功能默認情況下是啟用的,一旦計算機中的文件被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程序在內的外部程序修改系統還原。因此,防病毒程序或工具無法刪除 System Restore 文件夾中的威脅。這樣,系統還原就可能將受感染文件還原到計算機上,即使您已經清除了所有其他位置的受感染文件。
此外,病毒掃描可能還會檢測到System Restore文件夾中的威脅,即使您已將該威脅刪除。
2.將計算機重啟到安全模式或者VGA 模式
關閉計算機,等待至少 30 秒鐘后重新啟動到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用戶:將計算機重啟到安全模式。所有 Windows 32-bit 作系統,除了Windows NT,可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。
Windows NT 4 用戶:將計算機重啟到 VGA 模式。掃描和刪除受感染文件啟動防病毒程序,並確保已將其配置為掃描所有文件。運行完整的系統掃描。如果檢測到任何文件被 Download.Trojan 感染,請單擊「刪除」。如有必要,清除 Internet Explorer 歷史和文件。如果該程序是在 Temporary Internet Files 文件夾中的壓縮文件內檢測到的,請執行以下步驟:啟動 Internet Explorer。單擊「工具」>「Internet 選項」。單擊「常規」選項卡「Internet臨時文件」部分中,單擊「刪除文件」,然後在出現提示后單擊「確定」。在「歷史」部分,單擊「清除歷史」,然後在出現提示后單擊「是」。
3.關於病毒的危害,Download.Trojan會執行以下作:進入其作者創建的特定網站或 FTP 站點並試圖下載新的特洛伊木馬、病毒、蠕蟲或其組件。完成下載后,特洛伊木馬程序將執行它們。中了木馬不能打開殺毒軟體可以用360安全衛士安全啟動來先修復一下。

11途徑

通過郵件附件、程序下載等形式傳播:不要隨意使用來歷不明的程序,因為可能被修改過含有木馬。
通過偽裝網頁登錄過程,騙取用戶信息進而傳播木馬
通過攻擊系統安全漏洞傳播木馬:大量黑客使用專門的黑客工具來傳播木馬。
出現與系統現有文件類似的文件名或進程名。
運用msinfo32.exe,發現在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等項中出現不明鍵值。
有可疑進程訪問網路。
有若干Rundll32.exe進程
木馬與病毒的區別:木馬一般不像電腦病毒一樣大量自我繁殖,也並不刻意感染其他程序。病毒程序以大量傳播為樂趣,而木馬程序以侵入特定電腦並獲得許可權為目的。
木馬與adware(惡意廣告軟體)的區別:adware是一類特定的木馬,受廣告發布者控制,在用戶電腦上不斷彈出廣告內容。
木馬與遠程控制程序的區別:遠程控制程序公開、善意地控制其他電腦,以完成某些工作;木馬程序則是潛伏的、惡意的程序。

12查殺

一般使用專門的木馬查殺工具來殺除,例如木馬剋星、ewido、費爾托斯特等軟體。
殺毒軟體多數也可以查殺大量木馬,但在殺除木馬方面沒有上述軟體更專業,因而推薦兩者配合使用。
對於最新出現的木馬,有時也可以到網路搜尋特定的查殺工具來處理。
知道了「木馬」的工作原理,查殺「木馬」就變得很容易,如果發現有「木馬」存在,最有效的方法就是馬上將計算機與網路斷開,防止黑客通過網路對你進行攻擊。然後編輯win.ini文件,將[WINDOWS]下面,「run=「木馬」程序」或「load=「木馬」程序」更改為「run=」和「load=」;編輯system.ini文件,將下面的「shell=『木馬』文件」,更改為:「shell=explorer.exe」;在註冊表中,用regedit對註冊表進行編輯,先在「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」下找到「木馬」程序的文件名,再在整個註冊表中搜索並替換掉「木馬」程序,有時候還需注意的是:有的「木馬」程序並不是直接將「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」下的「木馬」鍵值刪除就行了,因為有的「木馬」如:BladeRunner「木馬」,如果你刪除它,「木馬」會立即自動加上,你需要的是記下「木馬」的名字與目錄,然後退回到MS-DOS下,找到此「木馬」文件並刪除掉。重新啟動計算機,然後再到註冊表中將所有「木馬」文件的鍵值刪除。至此,我們就大功告成了。

13相關常識

什麼是特洛伊木馬
古希臘傳說,特洛伊王子帕里斯訪問希臘,誘走了王后海倫,希臘人因此遠征特洛伊。圍攻9年後,到第10年,希臘將領奧德修斯獻了一計,就是把一批勇士埋伏在一匹巨大的木馬腹內,放在城外后,佯作退兵。特洛伊人以為敵兵已退,就把木馬作為戰利品搬入城中。到了夜間,埋伏在木馬中的勇士跳出來,打開了城門,希臘將士一擁而入攻下了城池。後來,人們在寫文章時就常用「特洛伊木馬」這一典故,用來比喻在敵方營壘里埋下伏兵裡應外合的活動盜密報卡解綁過程:
登陸的時候通過木馬盜取玩家的密碼,並且用盜取的密碼進入密碼保護卡解除綁定的網頁頁面,在通過木馬把玩家登陸時候的三個密碼保護卡數換成密碼保護卡解綁需要的三個數,1次就能騙到密碼保護卡解除綁定需要的三個數了,再解除綁定,玩家的帳號就跟沒密碼保護卡一樣.電話密碼保護也一樣,玩家打了電話,然後登陸的時候通過木馬讓玩家不能連接伺服器並盜取玩家的密碼,然後盜取賬號者就2分內可以上去了盜取玩家財產。
反擊盜取賬號者措施
1.設置角色密碼(可結合密碼保護卡),
2.設置背包密碼,背包分二部分(G也分2部份,1大額,1小額),一部分需要密碼(可以放重要的財產),一部分不要密碼(放置常用物品),可結合密保卡。
3,裝備欄設置密碼保護卡,上線后需要輸入密保卡解除裝備欄的密報卡數,才能使用技能 ,如果不解除綁定,不能使用技能並且無法交易。
4,倉庫通過密碼打開后,與背包相同。
5,設置退出密碼,輸入退出密碼正常才能下線,非正常下線5分內不能登陸。
6 設置下次登陸地點,玩家下線時可以選者下次登陸的IP段(以市為單位,不在IP段裡面的IP,不能登陸 )
6 計算機綁定,對於有計算機的玩家可以綁定CPU編號,這點某些殺毒軟體有這個技術,你們估計也有這技術。
7,上述六點可結合密碼保護卡,並且可以設置多張密碼保護卡,登陸界面一張密碼保護卡,角色界面一張密碼保護卡,背包一張密碼保護卡,倉庫一張密碼保護卡,退出登錄一張密碼保護卡。補充:密保卡可隨自己意願綁定,但是追號大於等於2,背包,倉庫等可以用同1張密保卡(最好不和登陸用同1張),關於手機密保可改為,登陸時不需打手機,登陸后所有物品全部無法交易出售,無法發言,在登陸后打手機才可解除,可防止手機密保在登陸界面被木馬利用
8,加強遊戲本身防木馬能力。可以和殺毒軟體公司合作設置一款專門用於魔獸的殺毒軟體
9,加入網吧IP段保護
上一篇[營養土]    下一篇 [聖安東尼護理學院]

相關評論

同義詞:暫無同義詞