進行惡意控制和破壞病毒描述：

帳號被偷，密碼被盜，機器被人遠程控制著放歌/開關機/屏幕倒轉過來，硬盤不住地轉動將關鍵資料向外發(fā)出，就是進行惡意控制和破壞病毒的杰作了。這類病毒和可執(zhí)行文件病毒最本質的區(qū)別是——惡意控制和破壞病毒本身是獨立的程序，而不是寄生于另一個程序中。這類病毒的編寫主要在于對操作系統本身接口的熟悉，網絡傳輸的熟悉，以及對隱蔽性的要求，此類病毒的編寫可使用多種語言，對病毒寫作者本身的實力也是一種考驗。這個病毒中，最出名的莫過于BO了，可以說，它指引了這種病毒在windows平臺的發(fā)展理念。這類病毒就是統稱的“木馬”病毒，通過系統漏洞/用戶操作疏忽進入系統并駐留，通過改寫啟動設置來達到每次啟機運行或關聯到某程序的目的。在windows系統中，表現為修改注冊表啟動項、關聯Explorer、關聯notepad等方式。

進行惡意控制和破壞病毒淺析：

惡意控制和破壞病毒編寫者的功力就有高有低了。高手所編寫的遠程控制系統可以和***秀的遠程管理工具相媲美，例如開山鼻主BO，國產的冰河，著名的黃金木馬sub7都屬于這一類，這類程序分為2個部分，控制端和被控制端；而在unix類平臺下的木馬經常是一個簡單外部命令的重新實現——例如將原本的ls命令替換掉，用自己寫的一個程序代替，在執(zhí)行正常文件列表的同時隱含執(zhí)行特殊命令，這類木馬的編寫水平也相當高，但在windows下極少出現類似程序替代的木馬，惡意控制和破壞病毒的聯系一般是單向進行的；還有一類木馬就是網絡盜竊性質的，以im軟件，網絡游戲盜號居多，近來發(fā)展為對金融業(yè)有所染指，這類一般就是通過程序監(jiān)視當前窗口，并獲得當前窗口特定控件的值（用戶名/密碼框里的值），然后通過email，遠程登陸web數據庫等方式把獲得的密碼發(fā)出去，這類程序具有一定編程基礎的各位朋友都能做到；第4類是惟恐天下不亂的純搗亂程序，原理跟可執(zhí)行文件病毒似，不過是朝文本框寫信息，例如著名的qq尾巴病毒，惡意控制和破壞病毒由于病毒作者將源代碼放出，改寫起來相當容易，智商85以上的人士都能勝任的。這類木馬病毒中的杰出代表為BO、冰河、Sub 7等。

進行惡意控制和破壞病毒感染途徑：

利用系統漏洞——造成溢出——獲取一定權限——利用其他漏洞或用戶設置不當提升權限——上傳惡意程序/修改系統設置——啟動惡意程序。是這類病毒感染的慣用方式。在后期，出現了以誘騙用戶執(zhí)行為主要感染方式的新木馬，充分利用了社會工程學，例如在im類軟件上給你發(fā)送一個名為“我的照片.exe”這樣的文件給你，引誘你打開執(zhí)行。由于木馬的用途主要是將病毒編寫者感興趣的資料回發(fā)——因此感染途徑99%來源于網絡，在完全無網絡單機狀態(tài)下的木馬等于是沒用的死馬。

進行惡意控制和破壞病毒自查：

由于木馬發(fā)送者的企圖都是通過控制你的機器操作來獲得一定利益，因此都會設置啟動時加載該程序。控制類的木馬需要占用相當一部分系統資源——用戶直接能感覺到的就是啟動速度變慢，系統運行速度變慢；而帳號盜取類的木馬由于需要獲得特定窗口的窗口句柄，因此會在當前窗口切換的時候進行讀取判斷——在機器配置不高的機器上，如果快速輪循窗口，則感覺到窗口出現速度明顯下降；惡作劇類的木馬就不用提了，大家都知道不對勁。

木馬病毒在編制不夠***的時候，會導致程序溢出——例如運行ie的時候多次出現“非法操作”、打開資源瀏覽器速度狂慢等現象，也可能是系統中了木馬后的蛛絲馬跡。在現象判斷上，確實沒有切實的客觀規(guī)則可循，主要是依據主觀經驗判斷?？傊?mdash;—如果您沒有安裝任何軟件/修改任何設置，原本昨天速度飛快的機器今天要么總是非法操作，要么速度延遲——那么您被感染了病毒或木馬的可能性相當大了。當然，如果您的qq帳號，傳奇密碼被偷了——更有100%的可能性是潛伏著的木馬干的。另外，相當多的木馬程序由于帶了hook鉤子，常常導致調試類程序出錯，如果您使用softice調試某些程序時經常無故報錯，那或許也是系統中掛接了異常的hook程序——木馬。

進行惡意控制和破壞病毒查殺：

木馬病毒的繁衍也是相當快速的，特別是行為上難以判斷——合法遠程控制軟件和木馬在本質上基本上無區(qū)別，在執(zhí)行行為上也相當類似。而木馬的控制協議一般是走tcp/ip協議，理論上是可以在65535個端口中隨意選擇（當然實際中會避開一些保留端口，防止系統沖突——木馬最必要的生存條件就是其隱蔽性），因此也無法利用端口方式準確判斷出病毒種類；通過特征碼方式，如果木馬作者沒有留下版本信息或說明文字，則也相當難以判斷；特別是木馬的源代碼公開后，想在其中加入一段獨特的功能代碼不是什么難事，因而衍生的版本特別快也特別多，這更加大了殺毒軟件查殺的的難度。

事實上現在世面上的殺毒軟件對待木馬的查殺能力并不夠強大，如果有可能，可以選擇專用的木馬查殺軟件，如木馬克星等。當然，木馬也有手工解決的辦法，而且對待層出不窮的木馬也只有手工查殺才能以不變應萬變——感染/修改設置/啟動加載/運行獲取密碼 是木馬必經過的4個步驟，讓我們看看怎么找出藏在機器中的馬來——由于木馬需要啟動加載執(zhí)行，因此大多采取修改啟動項目來加載的方式進行——那么，我們就到啟動項目里去牽馬吧；

在這一步，需要用戶對自己windows的啟動項目熟悉。Win98中，病毒可能在注冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或者HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Services中，或者是system.ini文件的[boot]小節(jié)將默認項目修改，或者是在Win.ini中的[Windows]小節(jié)中的load、run部分進行加載；在Windows\Start Menu\Programs\啟動這里加載，如果是2000或者xp，除了上面提到的幾個地方，還可能以服務方式加載，在HKEY_LOCAL_MACHINE\Sytem\Current Control Set\Services可以查到具體的加載項目。

對于這一步，由于每個人的機器設置不同，所以天緣也沒辦法給出列表來說明到底加載的程序中哪些程序是正常的，哪些是不正常的。有個比較方便的方法是——當您系統把需要安裝的軟件安裝得當時，您查看一下以上幾個位置，并把其中的項目記錄下來，以后覺得自己可能中木馬了后，再對比一下以前的記錄，將后來添加的自啟動程序記錄下名字/路徑，進行刪除操作。這樣做的好處是——即使刪除掉的是正常程序，也不會是關鍵進程，不會導致系統無法啟動，有恢復修改的余地。在Win98和XP中有個方便的Msconfig命令便于我們查看以上說的啟動項目，如果使用的是Win2000，可以將XP的該文件Copy過去使用。

如果的確發(fā)現了可疑的啟動項，那么接下來的工作就是刪除它了。在刪除的步驟上，有2個選擇：

1.刪除啟動項目，重新啟機，刪除木馬文件；

2.禁止當前運行的木馬程序，刪除啟動項目，重新啟機；

兩種方法各有其優(yōu)點，下面我們來一一分析。***種方法，是刪除啟動設置里的木馬程序選項，并記錄下該木馬文件的位置（可用“查找”功能定位，并記錄下來），然后重新啟動機器（直到機器被重新啟動前木馬依然是存活著的），重新啟動后，木馬程序本身依然存留在硬盤上，然后直接象刪除普通程序一樣刪除掉——這個方法的要點就是先禁止木馬的啟動然后再行殺除，好處是操作簡單，不需要借助其他軟件，特別是在Win98下默認是無法查看某些進程的，因此用這個方法相當方便，壞處則是對某些木馬無效——某些木馬在運行的時候會定期查看設置的啟動項是否還存在，若是不存在的話會自動修改過來，屬于比較強硬的做法，于是***種殺除方法就無法應對這樣的木馬了；第2種方法是先通過進程管理器查看，記錄并終止運行可疑程序（不光是注冊表/配置文件里的木馬啟動項，有時候木馬程序本身會運行一個附帶的獨立監(jiān)視程序來防止自己被改寫

因此需要非常熟悉自己的機器上的固定正常運行程序才能準確判斷，當然還有一個做法是非關鍵進程都殺——天緣在給朋友機器手工殺木馬的時候常這樣），之后再到啟動項目里去殺除掉相關的啟動項目，重新啟動機器后再把剛才記錄下的進程進行仔細查看，把確認為木馬的文件刪除掉。這個方法好處當然就是比較容易殺掉一些定期檢查/回寫啟動項目的疑難木馬，不過對用戶的操作要求比較高一些。

以上2種方法如果掌握了，基本上就能把目前的木馬全部手工殺除掉，但遇到木馬使用2個程序互相關聯/檢查啟動，或者是在加載基本驅動階段時以驅動程序方式嵌入的木馬程序時候用上面提到的2種方法都無效。在Win2000/xp中，啟動機器的時候會加載system32/drivers目錄下的驅動，而如果這些驅動中含有惡意程序，那么它可以做到改寫i/o，讓Windows修改某些文件無效，或讓操作某一注冊表無效，目前這一技術在病毒中尚未看到先例，但頗有爭議的3721已經成功地運用了該技術，相信在不久的將來一些功力深厚的病毒作者也會運用到此技術。天緣在這里預先提一下對惡意控制和破壞病毒的刪除方法——由于病毒已改寫i/o，故***的做法是在非windows環(huán)境中將其刪除，具體的做法是用軟盤/光驅引導啟動，或者利用vFloppy等工具配合boot引導程序制作一個小型虛擬引導盤，進行殺除工作。

進行惡意控制和破壞病毒殺毒遺留：

由于木馬程序并不一定只有一個可執(zhí)行文件，因此如果利用手工查殺的方法，或許會有一些木馬留下的dll，ocx等資源文件留下，副作用沒什么，但是會殘留在硬盤上。殺毒軟件嚴格意義上來說只是殺除了一些比較流行的主流木馬，對待一些不太流行的木馬是視而不見的，專業(yè)的木馬查殺工具能殺除90%左右的木馬，但剩下的10%高技術的木馬也無法查殺——如上文提到采用3721那種加載到system32/drivers下的木馬在windows上改寫文件/注冊表的讀寫，則無法在windows環(huán)境下查殺。

進行惡意控制和破壞病毒防御：

對待木馬，防止感染遠比事后殺除更為重要——重要的文件/資料/帳號已經被獲取了，即使把木馬殺了也無事于補。木馬的進駐，除了利用系統漏洞，大多采用欺騙方式——記得一句古話：“便宜莫貪”。網絡上初認識的朋友熱情地給你發(fā)他的照片，四處標榜著的免費游戲外掛，一些小站點吹噓的精品軟件，一些情色站點的專用播放器，一些所謂“安全站點”的所謂黑客工具。

世界上沒有絕對免費的事，以上提到的這些事情中的確有一些是免費的，當更多的是木馬程序，或者利用程序捆綁技術，將正常程序和木馬程序捆綁在一起的。如非必要盡量不要在這些地方進行下載?？傁胴潏D便宜，會吃大虧的——生活中如此，網絡上同樣是！

網絡上喜歡你6位qq號的人遠比覺得你帥的人多；

網絡上喜歡你40級帳號的人遠比喜歡你在游戲中造型的人多；

網絡上希望你作他肉機的人遠比他做你肉機的人多。

惡意控制和破壞病毒的資料如上所述，對于網絡安全這個問題，總結起來一句話，有些誘惑的黑客散播的信息就是無事獻殷勤——大多非奸即盜，網民自己要小心了。

【編輯推薦】

1. 25日病毒預報：謹防腳本病毒 后門木馬現身
2. “VBS”腳本病毒特點 原理分析以及如何防范
3. 文件夾病毒的防治措施
4. 手機病毒種類增多 智能手機用戶需謹慎
5. 手機病毒威脅個人信息安全
6. 病毒檔案之可執(zhí)行文件病毒解析
7. 病毒檔案之腳本病毒解析