木馬名稱的由來

木馬病毒入侵電腦木馬這個(gè)名字來源于古希臘傳說(荷馬史詩中木馬計(jì)的故事，Trojan一詞的特洛伊木馬本意是特洛伊的，即代指特洛伊木馬，也就是木馬計(jì)的故事)。

木馬基本概念

它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。木馬程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。

傳統(tǒng)木馬

傳統(tǒng)木馬都由兩部分組成：客戶端和服務(wù)器端，即C/S(Client/Server)類型?？蛻舳嗽诒镜刂鳈C(jī)執(zhí)行，用來控制服務(wù)器端。服務(wù)器端在遠(yuǎn)程主機(jī)執(zhí)行，一旦執(zhí)行成功，遠(yuǎn)程主機(jī)就中了木馬，就可以被控制或者造成其他的破壞。

新型木馬

反彈端口木馬，該木馬與傳統(tǒng)木馬最大的區(qū)別在于服務(wù)端一旦被執(zhí)行，會(huì)主動(dòng)連接客戶端。由于防火墻一般是許出不許進(jìn)，這樣反彈端口木馬就利用了防火墻這一特點(diǎn)，穿透防火墻。

為了躲避防病毒軟件的查殺，DLL木馬也誕生了。任何一個(gè)程序運(yùn)行都需要調(diào)用自身的DLL程序，由于DLL文件本身是不能執(zhí)行的，所以殺毒軟件不會(huì)把它列到查殺范圍當(dāng)中。DLL木馬利用應(yīng)用程序進(jìn)程都要調(diào)用很多DLL文件這種特點(diǎn)，把自己插入到普通的應(yīng)用程序的進(jìn)程中，使用戶無法在任務(wù)管理器當(dāng)中發(fā)現(xiàn)木馬的任何蹤跡。所以DLL木馬又被人們稱為無進(jìn)程木馬，隱蔽性相當(dāng)強(qiáng)。

由于網(wǎng)絡(luò)游戲和IM軟件的盛行，在巨大的利益面前，使各種盜號(hào)木馬迅速的生根發(fā)芽。千萬不要小看這些盜號(hào)木馬，在技術(shù)上絲毫不亞于經(jīng)典的木馬，甚至某些地方比那些老牌木馬更為強(qiáng)大。

木馬的通用解法

1.發(fā)現(xiàn)木馬

無論什么木馬，都想要破壞系統(tǒng)必須的依賴網(wǎng)絡(luò)，所以我們可以利用“netstat -nao”命令來查看本機(jī)當(dāng)前的網(wǎng)絡(luò)連接及使用的端口號(hào)。

如果遇到的是DLL木馬，我們看到的進(jìn)程有可能是正常的系統(tǒng)進(jìn)程，可以利用命令行的工具listdlls.exe，鍵入“listdlls exe文件名稱”，就可以查看到這個(gè)exe程序?qū)?yīng)的DLL。

2.結(jié)束木馬進(jìn)程

如果遇到的是普通木馬，那么用戶可以直接在“任務(wù)管理器”中右擊結(jié)束木馬進(jìn)程。如果是DLL木馬，仍然需要借助listdlls.exe的幫助，在鍵入“listdlls –d dll文件名稱”后，即可將DLL進(jìn)程結(jié)束。

3.還原木馬修改的注冊(cè)表鍵值

木馬最喜歡光顧的注冊(cè)表鍵值莫過于系統(tǒng)中的文件關(guān)聯(lián)，因?yàn)槲募P(guān)聯(lián)對(duì)系統(tǒng)的影響尤為重要，因?yàn)槟抉R如果關(guān)聯(lián)了一個(gè)文件類型，那么用戶一旦打開該類型的文件，木馬就會(huì)被執(zhí)行了。例如冰河木馬，會(huì)把自身和.txt文件關(guān)聯(lián)，只要有一個(gè).txt文件被打開，木馬就會(huì)先執(zhí)行自己，再調(diào)用原來打開.txt文件的程序來打開.txt文件。

4.刪除病毒啟動(dòng)項(xiàng)

為什么在清除木馬以后，重新啟動(dòng)計(jì)算機(jī)，木馬又回來了？其根本原因就是木馬把自己加載到了啟動(dòng)項(xiàng)當(dāng)中，雖然用戶清除了木馬，但是一旦系統(tǒng)重啟，木馬將再次得到加載，所以我們必須將系統(tǒng)啟動(dòng)項(xiàng)中的木馬清除干凈。

1、幾乎所有的木馬都喜歡利用注冊(cè)表來達(dá)到隨系統(tǒng)啟動(dòng)的目的

2、修改System.ini。該文件位于系統(tǒng)文件夾下，是系統(tǒng)啟動(dòng)的必需文件。正常情況下，shell=后面應(yīng)該只有explorer.exe，如果發(fā)現(xiàn)加進(jìn)去了其他程序，則很有可能是感染了木馬。

木馬會(huì)修改注冊(cè)表的以下項(xiàng)：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

3、修改Win.ini。該文件記錄了系統(tǒng)的基本信息，也是啟動(dòng)時(shí)必須要執(zhí)行的文件之一。在它的Windows字段里，默認(rèn)情況下load和run后面為空，如果發(fā)現(xiàn)任何一個(gè)后面被加進(jìn)去了程序的地址，則肯定中了木馬，并且這里就是木馬的啟動(dòng)地址。

4、修改Autoexec.bat。這個(gè)批處理文件是專門用來執(zhí)行一些需要在啟動(dòng)時(shí)執(zhí)行的程序的，位于系統(tǒng)盤的根目錄下。如果用戶不需要利用該文件在開機(jī)時(shí)執(zhí)行某些程序，完全可以刪除該文件。默認(rèn)情況下該文件里無可執(zhí)行程序，如果發(fā)現(xiàn)里面有了其他語句就需要注意了，說不定已經(jīng)感染了木馬。

5、修改“啟動(dòng)”組。“啟動(dòng)”組是一個(gè)以文件夾形式存在的系統(tǒng)目錄，它不能被刪除，任何程序只要位于該文件夾下，就會(huì)毫無條件的在開機(jī)時(shí)自動(dòng)運(yùn)行。所以這也成了木馬很好的啟動(dòng)方式之一。依次打開 “開始→程序”，就會(huì)發(fā)現(xiàn)有一個(gè)“啟動(dòng)”文件夾。如果發(fā)現(xiàn)里面有了不明程序，則很可能是中了木馬。

6、修改服務(wù)這是一種非常隱蔽的啟動(dòng)方式，木馬把自己注冊(cè)為系統(tǒng)服務(wù)，并設(shè)置服務(wù)屬性為“自動(dòng)”。由于所有屬性為“自動(dòng)”的服務(wù)都會(huì)在開機(jī)時(shí)被執(zhí)行，木馬當(dāng)然也不例外。在“運(yùn)行”里輸入services.msc并回車，就可以打開“服務(wù)”窗口，如果發(fā)現(xiàn)其中存在沒有描述的服務(wù)，就需要注意了，該程序多半也是木馬程序。

最后也是最為簡(jiǎn)單的一步，在系統(tǒng)中搜索木馬文件的名稱，當(dāng)找到木馬原文件后，將它刪除即可

【編輯推薦】

1. 廣告類惡意木馬新變種
2. 黑客欺騙網(wǎng)友執(zhí)行木馬的方法
3. 黑客種植木馬新方法及防范策略