计算机病毒分析与对抗

计算机病毒分析与对抗暨南大学本科生课程论文论文题目：计算机病毒分析与对抗学院：学系：专业：课程名称：学生姓名、学号：指导教师：2013年06月24日

目

录摘

要

2关键词2一、病毒发展史31.1计算机发展史上的‘第一’31.2电脑病毒的发展阶段31.3、病毒的演化及发展过程5传统病毒62.1大麻病毒62.2触发引导型病毒8三、蠕虫病毒143.1计算机蠕虫病毒143.2蠕虫病毒举例173.3计算机蠕虫病毒的探测和防御技术203.4防范蠕虫病毒的措施21四、木马病毒224.1木马病毒224.2木马病毒举例274.3防范与安全建议28五、病毒对抗28参考文献

31附录

31计算机病毒分析与对抗[摘

要]

随着计算机和互联网络技术的快速发展和广泛应用，计算机网络系统的安全受到严重的挑战，来自计算机病毒和黑客攻击及其他方面的威胁越来越大。其中，计算机病毒更是计算机安全中很难根治的主要威胁之一。本文主要内容是介绍计算机病毒及其防治。本文第一章阐述了计算机病毒发展史，介绍了计算机病毒发展的各个阶段；第二章详细阐述了计算机传统病毒，其中包括大麻病毒和触发引导型病毒，介绍了其特点、危害及传染方式；第三章介绍了蠕虫病毒，其中主要讲解了尼姆达蠕虫病毒和熊猫烧香的结构及其工作原理及如何防治与查杀；第四章主要介绍了木马病毒，其主要内容包括木马的功能、结构及其工作原理，以及木马的分类，木马的发展阶段，并介绍了几种常见的木马病毒。最后介绍了病毒的防范与查杀方法。[关键词]计算机病毒；大麻病毒；引导型病毒；蠕虫病毒；木马；尼姆达蠕虫病毒；熊猫烧香；病毒防范；一、病毒发展史1.1、计算机发展史上的‘第一’：早在1949年，约翰·冯·诺依曼在他的论文《自我繁殖的自动机理论》中从理论上论证了当今计算机病毒的存在论。1983年，弗雷德·科恩博士研制出一种在运行过程中可以复制自身的破坏性程序，第一次验证了计算机病毒的存在。1984年，科恩博士发表了一篇名为《电脑病毒―理论与实验（ComputerViruses―TheoryandExperiments）》，第一次从理论和实践两个方面完整阐述了计算机病毒。也描述了他与其他专家对电脑病毒研究的实验成果。

1986年，两个巴基斯坦兄弟为了打击盗版软件的使用者设计了一个名为‘brain’的病毒，这是世界上流行的第一个真正的病毒。1988年，罗伯特·塔潘·莫里斯编写了世界上第一个能不断自我复制并通过网络传播的蠕虫病毒。1.2电脑病毒的发展阶段

在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。同时，操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。总的说来，病毒可以分为以下几个发展阶段：

1.DOS引导阶段

1987年，电脑病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。由于，那时的电脑硬件较少，功能简单，一般需要通过软盘启动后使用。而引导型病毒正是利用了软盘的启动原理工作，修改系统启动扇区，在电脑启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。

2.DOS可执行阶段

1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，如“耶路撒冷”，“星期天”等病毒。可执行型病毒的病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒，可感染COM和EXE文件。

3.伴随体型阶段

1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒，它感染EXE文件的同时会生成一个和EXE同名的扩展名为COM伴随体；它感染COM文件时，改为原来的COM文件为同名的EXE文件，在产生一个原名的伴随体，文件扩展名为COM。这样，在DOS加载文件时，病毒会取得控制权，优先执行自己的代码。该类病毒并不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可，非常容易。其典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。

4.变形阶段

1994年，汇编语言得到了长足的发展。要实现同一功能，通过汇编语言可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的多形病毒—幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。

5.变种阶段

1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关命令，也不影响运算的结果。这样，某些解码算法可以由生成器生成不同的变种。其代表作品—“病毒制造机”VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时不能使用传统的特征识别法，而需要在宏观上分析命令，解码后查解病毒，大大提高了复杂程度。

6.网络、蠕虫阶段

1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在Windows操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。

7.窗口阶段

1996年，随着Windows的日益普及，利用Windows进行工作的病毒开始发展，它们修改（NE，PE）文件，典型的代表是DS.3873，这类病毒的急智更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂。

8.宏病毒阶段

1996年，随着MSOffice功能的增强及盛行，使用Word宏语言也可以编制病毒，这种病毒使用类Basic语言，编写容易，感染Word文件文件。由于Word文件格式没有公开，这类病毒查解比较困难。

9.互联网、感染邮件阶段

1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播，一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件，电脑就有可能中毒。

10.爪哇、邮件炸弹阶段

1997年，随着互联网上Java的普及，利用Java语言进行传播和资料获取的病毒开始出现，典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它就严重影响因特网的效率。

1.3、病毒的演化及发展过程

当前电脑病毒的最新发展趋势主要可以归结为以下几点：

1.病毒在演化

任何程序和病毒都一样，不可能十全十美，所以一些人还在修改以前的病毒，使其功能更完善，病毒在不断的演化，使杀毒软件更难检测。

2.千奇百怪病毒出现

现在操作系统很多，因此，病毒也瞄准了很多其他平台，不再仅仅局限于MicrosoftWindows平台了。

3.越来越隐蔽

一些新病毒变得越来越隐蔽，同时新型电脑病毒也越来越多，更多的病毒采用复杂的密码技术，在感染宿主程序时，病毒用随机的算法对病毒程序加密，然后放入宿主程序中，由于随机数算法的结果多达天文数字，所以，放入宿主程序中的病毒程序每次都不相同。这样，同一种病毒，具有多种形态，每一次感染，病毒的面貌都不相同，犹如一个人能够“变脸”一样，检测和杀除这种病毒非常困难。同时，制造病毒和查杀病毒永远是一对矛盾，既然杀毒软件是杀病毒的，而就有人却在搞专门破坏杀病毒软件的病毒，一是可以避过杀病毒软件，二是可以修改杀病毒软件，使其杀毒功能改变。因此，反病毒还需要很多专家的努力！二、传统病毒传统的计算机病毒鼎盛时期是20世纪80年代中期到90年代末，随着互联网的发展逐渐被网络蠕虫以及一些网络为传播途径的病毒所取代。传统病毒的代表有巴基斯坦智囊（Brain）、大麻、磁盘杀手（ＤＩＳＫＫＩＬＬＥＲ）、ＣＩＨ等。传统病毒一百年由三个组要模块组成，包括启动模块、传染模块和破坏模块。当系统执行了感染病毒的文件时，病毒的启动模块开始驻留在系统内存中。传染模块和破坏模块的发作均为条件触发，当满足了传染条件，病毒开始传染别的文件。满足了破坏条件，病毒就开始破坏系统。由于课本８３页介绍了ＣＩＨ病毒，在此不重复介绍，介绍另一种病毒：大麻。2.1、大麻病毒：大麻病毒又叫新西兰病毒，因为最早在1988年初，在新西兰的惠灵顿市就有发现大麻病毒的报道。那时的大麻病毒只感染360KB的软盘，不感染硬盘。后来的大麻变种中，大部分都感染硬盘，有的还改动了显示信息，有的则把显示信息语句之前的条件判断修改成每次启动时，病毒都在屏幕上显示出下列字符串：YourPCisnowStoned!LEGALISEMARIJUANA!而不是原始设计的当系统时钟计数器记到8的倍数时才显示上述信息。2.1.1危害大麻病毒很短小，总共不到400个字节的代码就完成驻留内存、修改中断向量、区别软硬盘、感染软盘、感染硬盘、引导原硬盘主引导扇区、显示时机判断、显示信息以及大麻病毒感染标志判断以防止重复感染等众多功能。2.1.2特点大约在1989年大麻病毒传入我国，成为在当时四处传播的一种主要病毒。大麻病毒像其他许多引导区病毒一样，对软盘的感染并不去判断该软盘是否含有DOS的系统文件，即不理会该软盘是否为可启动的系统盘，因此造成不仅系统盘会被感染，一般的数据盘也会被感染。当染有大麻病毒的软盘插在A：驱动器中，在系统重新启动时首先尝试读A：盘。只要软盘的引导扇区内容被读进PC机，即使启动不成功，大麻也已经驻留在内存中，可以继续去感染硬盘和他未染病毒的软盘了。PC机将隐藏在软盘引导扇区的病毒读入内存只是一瞬间的事情，往往在用户意识到自己在启动PC机时插错了软盘，或根本不该在软驱中插软盘时，已经为时已晚了。许许多多种引导区型毒就是靠这种方式感染进硬盘的。PC机硬盘内原本是无毒的，因为一次偶然的操作，使引导区型病毒从软盘传染进入了硬盘，这是很多用户都经历过的。经过分析，我们知道大麻病毒与其他许多引导区型病毒一样，都只能从软盘传染到硬盘2.1.3传染方式从传染方式上讲，大麻病毒是在系统执行读操作时进行传染的。由于磁盘读写中断被大麻病毒接管，因此任何磁盘操作都会被它过滤一遍，读磁盘是最普遍的操作，大麻病毒在判断到有读盘操作发生时，就调用传染子程序，对那些尚未被大麻病毒感染过的磁盘进行传染。判断的标志是大麻病毒自身的启动程序代码，因此很难为正确的引导扇区启动程序制作大麻病毒的免疫标志。在这里我们也可以看到要制作出可以成为各种病毒都被通用的免疫标志是不可能的。我们不能依靠制作免疫标志的方法来抵御电脑病毒。作为大麻病毒程序本身，其内部并没有刻意编写的破坏代码，如将FAT清零、格式化磁盘等，无法将其划分为恶性病毒，但实际上大麻病毒却能引来数据混乱、文件丢失等。对软盘来讲，大麻病毒将原DOS引导扇区搬移到0道、1面、3扇区中，原扇区的内容被覆盖掉。如果该扇区含有有用信息，这将造成损失，在360KB容量的软盘上，这个扇区是目录区最后一个扇区，若根目录下的文件数目不是很多时，不会用到这个扇区，也就不会有影响，对1)2MB容量的软盘，大麻病毒占用的这个扇区位于目录区的第三扇区，而不是最后一个扇区，这时存放在这个扇区的16个文件就全部丢失了，而根目录里只有前两个扇区内的32个文件未受触动。第3扇区以后的扇区内容因第三扇区被破坏而使存放在其中的件也无法被找到。这是大麻病毒覆盖正常扇区的情况。反过来，若该盘是系统引导盘，被大麻感染之后，原引导扇被写到0磁道、1柱面、3扇区，当盘上建立的文件数逐渐增加，覆盖了占据目录区的原引导扇区内容时，该盘就由能引导的启动盘变成不能引导的启动盘了。对硬盘来讲，大麻病毒可能不造成任何破坏，也可能会毁坏数据，这取决于盘上安装的DOS版本号。硬盘划分分区时，有一个保留区，也叫隐藏区。DOS2)x的FDISK划分分区时，隐藏区的扇区数目为o，此时大麻病毒在传染硬盘时，把原主引导扇区搬到o道0面7扇区，该扇区正好是硬盘C:分区的FAT所在扇区。在这种情况下，不是造成由于FAT被破坏引起数据丢失，就是占据该位置的主引导区被破坏而引起硬盘不能启动。DOS3)x的FDISK将整个一个磁道都划为隐藏区，除主引导扇区所处的第一扇区有用外，其他扇区作为保留，不放DOS信息。这种情况下，硬盘上即使感染上了大麻病毒，系统里的数据也不受损伤，因为0道0面7扇区是保留区内的扇区。在内存中，大麻病毒占用了2KB内存，实际只占用了1KB。检查大麻病毒时，要在内存中无病毒的情况下进行，不然刚刚清掉病毒又马上会被感染上。2.2、演示触发引导型病毒：引导型病毒取得控制权的过程：1、正常的引导过程MBRMBR和分区表装载DOS引导区运行DOS引导程序加载IO.sysMSDOS.sys加载ＤＯＳ２、用被感染的软盘启动引导型病毒引导型病毒从软盘加载到内存寻找DOS引导区的位置将ＤＯＳ引导区移动到别的位置病毒将自己写入原ＤＯＳ引导区的位置３、病毒在启动时获得控制权MBRMBR和分区表将病毒的引导程序加载入内存运行病毒引导程序病毒驻留内存原ＤＯＳ引导程序执行并加载ＤＯＳ系统DOS运行时病毒由硬盘感染软盘的实现。第一步：环境安装安装虚拟机VMWare，在虚拟机环境内安装MS-DOS7.10环境。第二步：软盘感染硬盘1、运行虚拟机，检查目前虚拟硬盘是否含有病毒。如图表示没有病毒正常启动硬盘的状态。2、拷贝含有病毒的虚拟软盘virus.img。3、将含有病毒的软盘插入虚拟机引导，可以看到闪动的字符*^_^*，如左图4。按任意键进入下图画面。第三步：验证硬盘已经被感染取出虚拟软盘，通过硬盘引导，再次出现了病毒的画面。2、按任意键后正常引导了dos系统。可见，硬盘已经被感染。第四步：硬盘感染软盘1、下载empty.img，并且将它插入虚拟机，启动电脑，由于该盘为空，如图显示。2、取出虚拟软盘，从硬盘启动，通过命令formatA:/q快速格式化软盘。可能提示出错，这时只要按R即可。如图所示。3、成功格式化后的结果如图所示。4、不要取出虚拟软盘，重新启动虚拟机，这时是从empty.img引导，可以看到病毒的画面，如下图（1）所示。按任意键进入图（2）画面。可见，病毒已经成功由硬盘传染给了软盘。图（1）图（2）蠕虫病毒3.1计算机蠕虫病毒3.11定义蠕虫病毒产生于20世纪80年代后期，鼎盛时期是从20世纪90年代末开始，而且迅速成为了计算机病毒的主流。计算机蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的，尤其是近年来，计算机蠕虫、计算机病毒和木马程序之间的界限已不在明显，三者相互渗透，优势互补。一方面越来越多的病毒采取了部分蠕虫的技术，另一方面具有破坏性的蠕虫也采取了部分病毒和木马技术。例如，Nimda蠕虫病毒和CodeRed蠕虫病毒即以蠕虫的传播方式去感染别的计算机，影响网络，又以病毒的方式在被感染计算机上执行恶意程序，破坏被感染计算机上的文件，最后利用木马程序在被感染主机上设置后门，供其他蠕虫病毒利用。综上所述，计算机蠕虫病毒是一种融合计算机蠕虫、计算机病毒和木马技术的新技术，它无须计算机使用者干预即可运行，通过大规模的扫描获取网络中存在漏洞的计算机的控制权进行复制和传播，在已感染的计算机中设置后门或执行恶意代码破坏计算机系统或信息。它是通过在互联网环境下复制自身进行传播，蠕虫病毒的传播目标是互联网内的所有计算机，传播条途径主要包括局域网内的共享文件夹、电子邮件、网络中的恶意网页和大量存在着漏洞的服务器等。可以说蠕虫病毒是以计算机为载体，以网络为攻击对象。3.12计算机蠕虫病毒与普通病毒的区别。蠕虫和普通病毒不同的一个特征是，蠕虫病毒往往能够利用漏洞。一般来说，漏洞可以分为软件漏洞和人为缺陷，软件漏洞主要指程序员由于习惯不规范、错误理解或想当然，在软件中留下存在安全隐患的代码，如缓冲区漏洞、微软IE和Outlook的自动执行漏洞等。认为缺陷主要指的是计算机用户的疏忽，这就是所谓的社会工程学的问题，如一封标题为求职信息的邮件时，大多数人都会抱着好奇的心理去点击它，则求职信病毒将顺利侵入，蠕虫病毒的攻击和传播主要就是利用漏洞。下面通过一个表格来比较普通病毒和蠕虫病毒比较方面普通病毒蠕虫病毒存在形式寄生独立个体复制形式插入到宿主程序(文件)中自身的拷贝传染机制宿主程序运行系统存在漏洞触发传染计算机使用者程序自身影响重点文件系统网络性能、系统性能计算机使用者在传播中角色病毒传播中的关键环节无关对抗的主要主体计算机使用者、反病毒厂商系统提供商、网络管理人员3.13计算机蠕虫病毒的传播方式已知道蠕虫病毒的传播方式大致可以分为：①邮件。当今社会，e-mail是人们交往和工作最主要的方式之一，也是网络应用最为频繁的服务之一，因此蠕虫病毒也借用该手段进行传播，例如I-Worm。②局域网。大部分的网络安全时间都是来自与局域望内部，蠕虫病毒在传播过程中也首先在本地局域网中自动搜索可写目录直接修改感染机器的注册表，使得能自动运行。③系统漏洞。大部分的蠕虫病毒都是针对系统漏洞进行大规模的传播、感染。例如Nimda蠕虫病毒等。3.14计算机蠕虫病毒的巨大危害从1988年首例蠕虫（Morris）事件以来，统计到的Internet安全威胁事件每年以指数增长，近年来的增长态势变得的尤为迅猛。计算机蠕虫病毒的危害是巨大的，主要体现在以下五个方面：①消耗被感染主机的系统资源以及破坏系统文件和信息资源；②消耗网络上的带宽造成网络阻塞甚至网络瘫痪；③消耗网络设备系统资源，如路由器和交换机；④降低被感染主机和网络设备的系统性能；⑤与黑客技术融合，造成更大的安全隐患。例如泄露机密信息，特别是金融和政府的信息。3.15计算机蠕虫病毒的发展趋势从Morris蠕虫到现在基于P2P的QQ蠕虫，蠕虫病毒总是随着网络技术的进步而发展，2000年至今，出现的蠕虫病毒数不胜数（redcodeⅠ,nimda等等），同时Internet上每天都充斥着大量的蠕虫病毒。蠕虫病毒随着网络安全技术的进步也出现了新的变化，①传播多样化。蠕虫病毒不再是以仅有的传播方式进行传播，它利用伪装等更多的技术传播。利用伪装技术，蠕虫病毒藏身于一些合法的制作工具或著名公司的系统工具，利用这些工具制作的软件包就包含了蠕虫病毒，从而达到传染目的。②智能化。蠕虫病毒已不再需要人为的动作进行传播，它结合人工智能技术，蠕虫的传播，感染，破坏都是自动完成，而且朝着反病毒软件的方向发展。3.16计算机蠕虫病毒的功能结构模型一般地，蠕虫病毒的功能模块可以分为两部分：基本功能模块和扩展功能模块。其中，基本功能模块分为5个部分：搜索模块、攻击模块、传输模块、信息收集模块和繁殖模块；扩展功能模块包括4个部分：通信模块、隐藏模块、破坏模块和控制模块。该模型体现了当前蠕虫病毒的功能结构，其中实现了基本功能模块的蠕虫病毒能够很好的完成传播复制流程，而包含扩展功能模块的蠕虫病毒则有更强的生存能力和破坏能力。3.17计算机蠕虫病毒的功能结构模型分析首先，计算机蠕虫病毒的基本功能即传播复制过程可以分为四个阶段：系统扫描、进行攻击、现场处理、自我复制,如图一所示。网络上已感染计算机蠕虫病毒的主机通过特定的扫描机制（例如：选择性随机扫描、顺序扫描等）去寻找存在漏洞的主机，当扫描到有漏洞的计算机系统后，进行攻击，攻击部分主要完成计算机蠕虫病毒主体的迁移工作以及对计算机系统信息和文件的破坏；计算机蠕虫病毒进入系统后，要做现场处理工作，例如修改系统日志、信息收集和自我隐藏等；最后一步是自我复制，生成多个副本重复上述流程。其次，计算机蠕虫病毒的扩展功能主要是实现计算机蠕虫病毒的攻击破坏能力，不同的蠕虫病毒其基本功能都基本上一致，但是他们的扩展功能却不尽相同。要认识、探测和防御蠕虫病毒就要充分了解蠕虫病毒的行为特征，这里我门把蠕虫病毒的行为特征归纳为四个方面：主动攻击、利用漏洞、行踪隐藏和反复感染。计算机蠕虫病毒被释放以后，从搜索漏洞到利用漏洞进行系统攻击及复制副本，整个流程都是由蠕虫病毒自身主动完成。计算机蠕虫病毒在搜索漏洞时将发起大量的连接以判断计算机是否存在、特定的应用服务是否存在、漏洞是否存在等等。进入系统后，蠕虫病毒通过修改系统日志隐藏自己，最后复制蠕虫病毒副本，下载和运行恶意代码。被感染主机作为一个新的攻击源去攻击别的计算机。3.2蠕虫病毒举例3.2.1典型的蠕虫病毒(1)“震荡波”Worm.sasser蠕虫病毒中毒后的系统将开启上百个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统不停的进行倒计时重启。(2)“网络天空”Wsky蠕虫病毒病毒利用系统收信邮件地址，疯狂的乱发病毒邮件大量浪费网络资源，使众多邮件服务器瘫痪，因此让受感染的系统速度变慢。(3)“灾飞”Worm.Zafi病毒该病毒可以阻碍网络畅通、使防病毒软件失效、并伪装成著名MP3播放器的可执行文件使用户感染。中止大量反病毒软件，并用病毒文件替换反病毒软件的主程序，导致反病毒软件无法使用。(4)QQ消息机木马Troj.QQmsg病毒，和网游、网银盗号木马QQ消息机，利用IE漏洞传播，每一个病毒传播范范围不广，但是其变种频出。网游盗号木马病毒泛滥，其变种繁多，针对各类网络游戏的木马病毒每天都在增加。它们会伪装成工具欺骗用户运行，捆绑到网游外挂，利用QQ消息机的传播特性等多种手段进人用户的系统，通过监视用户系统的一举一动伺机盗取用户的网游帐号、密码和网络银行的帐号、密码。(5)求职信Worm.Klez.E及变种“求职信”变种病毒是一种电子邮件蠕虫病毒，病毒发作后会感染电脑中的Word文档和Excel文档，且遭受感染的文档和数据根本无法恢复。同时，该病毒将终止反病毒软件的运行，并将其从电脑中删除。(6)冲击波杀手Worm.MSBlaster及其变种“冲击波杀手”这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户，使他们的计算机无法工作并反复重启，大量企业用户也未能幸免。该病毒还引发DoS攻击，使多个国家的互联网也受到相当影响。电脑不能正常复制粘贴。系统网络连接数增大，系统反应奇慢。3.2.2尼姆达蠕虫病毒以尼姆达蠕虫（Worms.Nimda)病毒为例分析一下蠕虫病毒。2001年9月18日尼姆达病毒在全球蔓延，它能够通过多种传播渠道进行传播，传染性极强，同时破坏力也极大。尼姆达病毒的传播几乎涵盖了目前病毒传播的所有途径，主要包括以下方面：1）攻击Web服务器，用户通过网易额感染尼姆达病毒会检测Internet,试图找到Web服务器，找到之后蠕虫便会利用已知的系统漏洞来攻击改服务器，如果成功，蠕虫将会修改该站点的Web页信息，并上传病毒。Web服务器中毒后，当用户浏览该站点时，不知不觉便会被病毒感染。Web服务器的漏洞主要包括MicrosoftIISUnicode解码目录遍历漏洞、MicrosoftIISCGI文件名错误解码漏洞以及红色代码（CodeRedII)病毒遗留的漏洞。2）构造带病毒的邮件，群发传播病毒尼姆达病毒利用MAPI函数调用，从用户的邮件地址簿和用户WebCache文件夹中的HTM（或HTML)文件搜索E-main地址，并向这些地址发包含病毒的邮件。这些邮件包含一个名为readme.exe的base64编码可执行的二进制文（运行该文件系统将被传染尼姆达病毒），由于IE5.5SP1及以前版本存在AutomaticExecutionofEmbeddedMIMETypes安全漏洞，当读取HTML格式的邮件时就会自动运行邮件，故用户无须打开附件文件，readme.exe也能够自动运行，从而感染整个系统。3）向本地共享区复制病毒，传染访问此区的主机尼姆达病毒还会搜索本地网络的文件共享，无论它是在文件服务器上还是在中断客户机上，一旦找到，便安装一个名为Riched20.dll的隐藏文件到每一个Doc和Eml文件的目录中，当用户通过Word、写字板、Outlook打开Doc或Eml文档时，这些应用程序将寻找并加载Riched20.dll文件，从而使机器感染。4）感染本地PE格式文件尼姆达病毒也会感染本地PE格式的exe格式文件，这一点与传统病毒类似，当用户执行这些被感染的文件时，病毒就会发作。尼姆达病毒是一个精心设计的蠕虫病毒，其结构复杂堪称近年来之最。尼姆达病毒激活后，使用其副本替换系统文件；将系统的个各驱动器设为开放共享，降低系统安全性；创建Guest账号并将其加入到管理员组中，安装Guest用户后门。由于尼姆达病毒通过网络大量传播，产生大量异常的网络流量和大量的垃圾邮件，网络性能势必受到严重影响。受到尼姆达病毒感染的用户应重新安装系统，以便彻底清除其他潜在的后门。如果不能立刻重装系统，可以参考下列步骤来清除蠕虫或者防止被蠕虫攻击。1）下载IE和IIS的补丁程序到受影响的主机上2）安装杀毒软件和微软公司的CodeRedII清除程序。3）备份重要数据。4）断开网络连接（如拔掉网线）。5）执行杀毒工作，清除可能的CodeRedII蠕虫留下的后门。6）安装IE和IIS的补丁。7）重新启动系统，再次运行杀毒软件以确保完全清除蠕虫。由于尼姆达病毒修改和替换了大量的系统文件，因此手工清除可硬比较繁琐而且不易清除干净。建议使用最新版本额反病毒厂商的杀毒软件来进行清除工作。建议在杀毒之前备份系统中的重要数据，以避免数据丢失。3.2.3熊猫烧香蠕虫病毒一、病毒描述其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”案，所以也被称为“熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。二、中毒症状除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。三、病毒危害病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的..f.src.html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。注：江苏等地区成为“熊猫烧香”重灾区。四、运行过程本地磁盘感染。病毒对系统中所有除了盘符为A，B的磁盘类型为DRⅣE_REMOTE，DRⅣE_FⅨED的磁盘进行文件遍历感染。五、防御方法计世网消息在2007年新年出现的“PE_FUJACKS”就是最近让广大互联网用户闻之色变的“熊猫烧香”。该病毒的作者为“武汉男生”（文件末签名”WhBoy”），这个版本的病毒已经集成了PE_FUJACK和QQ大盗的代码，通过网络共享，文件感染和移动存储设备传播，尤其是感染网页文件，并在网页文件写入自动更新的代码，一旦浏览该网页，就会感染更新后的变种。不幸中招的用户都知道，“熊猫烧香”会占用局域网带宽，使得电脑变得缓慢，计算机会出现以下症状：熊猫烧香病毒会在网络共享文件夹中生成一个名为GameSetup.exe的病毒文件；结束某些应用程序以及防毒软件的进程，导致应用程序异常，或不能正常执行，或速度变慢；硬盘分区或者U盘不能访问使用；exe程序无法使用程序图标变成熊猫烧香图标；硬盘的根目录出现setup.exeauturun.INF文件；同时浏览器会莫名其妙地开启或关闭。该病毒主要通过浏览恶意网站、网络共享、文件感染和移动存储设备（如U盘）等途径感染，其中网络共享和文件感染的风险系数较高，而通过Web和移动存储感染的风险相对较低。该病毒会自行启动安装，生成注册列表和病毒文件%System%\drivers\spoclsv.exe，并在所有磁盘跟目录下生成病毒文件setup.exe,autorun.inf。应用统一变为熊猫烧香的图标其实就是在注册表的HKEY_CLASSES_ROOT这个分支中写入了一个值，将所有的EXE文件图标指向一个图标文件，所以一般只要删除此值，改回原貌就可以了。3.3计算机蠕虫病毒的探测和防御技术由于计算机蠕虫病毒具有相当的复杂性和破坏性，因此，计算机蠕虫病毒的探测和防御就显得格外重要。目前还没有那种防御措施能有效的探测和防御所有的计算机蠕虫病毒，特别是新型的未知的计算机蠕虫病毒。在网络中，应用最广泛的计算机蠕虫病毒的探测和防御技术是防火墙技术，IDS技术（Intrusiondetectionsystems），Snmp技术和netflow技术等。一、采用防火墙技术通过配置网络或单机防火墙软件，禁止除服务端口外的其他端口，这将切断计算机蠕虫病毒的传输通道和通信通道。过滤含有某个计算机蠕虫病毒特征的报文，屏蔽已被感染的主机对保护网络的访问等。由于蠕虫病毒的行为同一般的网络应用有很大的相似性，因此防火墙技术不可避免的导致某些正常的网络应用也被封堵。二、采用IDS技术IDS主要用来检测DDOS攻击和计算机蠕虫病毒。IDS分为两种：基于特征模型的IDS和基于异常模型的IDS。基于特征模型的IDS通过分析已知计算机蠕虫病毒的发病机制和特征，构建相应的数据模型的数据库。IDS在所监控的网络中收集计算机和网络活动的数据以及他们之间的连接，将这些数据构建成网络活动行为的特征与数据库中的数据模型相匹配，检查计算机蠕虫病毒是否存在。这种技术通过模型匹配对已知蠕虫病毒能有效的防治，但是却不能探测和防御新型的未知的计算机蠕虫病毒。另外，基于异常模型的IDS通过监视不正常的通信量变化探测新的攻击，这里的通信量的改变是指当前的通信量的度量值和它正常条件下的通信量的阀值的差值。由于确定一个适当的包含所有正常通信因素的阀值是相当的困难，因而基于异常模型的IDS有较高的报错率。三、采用SNMP+MRTG技术简单网络管理协议(SimpleNetworkManagementProtocol)是一种应用层协议，是TCP/IP协议族的一部分，它使网络设备间能方便地交换管理信息。SNMP能够让网络管理员管理网的性能，发现和解决网络问题及进行网络的扩充。MRTG(MultiRouterTrafficGrapher,MRTG)就是基于SNMP的典型网络流量统计分析工具。它耗用的系统资源很小，它通过SNMP协议从设备得到其流量信息，并将流量负载以包含JPEG格式图形的HTML文档的方式显示给用户，以非常直观的形式显示流量负载。当蠕虫病毒爆发时，在MRTG上可以直观的看出网络流量的增加，结合MRTG反馈的信息，网络管理者可以及时采取补救措施，防止蠕虫病毒造成更大的危害。该技术也是目前局域网管理中应用最广泛的技术之一。四、采用NETFLOW技术由于现在蠕虫病毒的传播速度越来越快，爆发周期越来越短，危害也越来越大，因此，如何在蠕虫病毒发作早期将其检测出来成了减轻蠕虫病毒危害的关键。利用蠕虫病毒的行为特征将NetFlow技术应用到蠕虫病毒的早期检测上是一种可行的技术路线。NetFlow是Cisco公司在其IOS（网络操作系统）交换体系中引入的一种新的交换技术。NetFlow服务可在最大限度减小对路由器/交换机性能影响的前提下提供详细的数据流统计信息.作为其交换功能的一部分,它能够提供包括用户、协议、端口和服务类型等统计信息。由于蠕虫传播过程中会发起大量的扫描连接，通过工具统计分析NetFlow数据流，可以很容易地发现蠕虫的扫描行为，进而采取相应措施，隔断其感染途径。例如flowtools、Cflowd工具。五、其他技术除了上述技术外，计算机蠕虫病毒的防范技术还很多。例如：美国安全专家提议的基于CCDC（CyberCentersforDiseaseControl）的蠕虫检测、防御和阻断以及华盛顿大学应用研究室的JohnW.Lockwood等人提出的一种采用可编程逻辑设备对抗计算机蠕虫病毒的防范系统等。3.4防范蠕虫病毒的措施3.41企业防范蠕虫病毒的措施当前，企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务系统以Inetrnet应用等领域。蠕虫病毒可以充分利用网络快速传播达到其阻塞网络的目的。企业利用网络进行业务处理时，就不得不考虑企业的病毒防范问题，以保证关系企业命运的业务数据不被破坏。企业防范蠕虫病毒的时候需要考虑几个问题：（1）病毒的查杀能力（2）病毒的监控能力（3）对新病毒的反应能力。同时企业在日常管理方面应该注重采用科学合理的制度，提高每位员工的安全意识，推荐的企业防范蠕虫病毒的策略如下：(1)加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性，对各种操作系统和应用软件及时更新。由于各种漏洞的出现，使得安全不再是一种一劳永逸的事，作为企业用户，所经受攻击的概率也是越来越大，要求企业的管理水平和安全意识也越来越高。(2)建立病毒检测系统，能够在第一时间内检测到网络异常和病毒攻击。(3)建立应急响应系统，将风险减少到最小。由于蠕虫病毒爆发的突然性，可能在病毒被发现的时候已经蔓延到了整个网络，所以在突发情况下，为了能在病毒爆发的第一时间提供应急方案，建立一个紧急响应系统是很有必要的。(4)建立灾难备份系统。对于数据库和数据系统，必须采用定期备份，多机备份措施，防止意外灾难下的数据丢失。(5)另外，对于企业内部网络的安全，需要重视以下几点：①在因特网入口处安装防火墙及杀毒软件，将病毒隔离在局域网之外。②对邮件服务器进行监控，防止带毒邮件进行传播。③对局域网用户进行安全培训。④建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种杀毒软件病毒库的升级等等。3.42个人用户防范蠕虫病毒的措施网络蠕虫病毒对个人用户的攻击主要还是通过利用社会工程学，而不是利用系统漏洞。所以防范此类病毒需要注意以下几点：(1)购买合适的杀毒软件。网络蠕虫病毒的发展已经使传统杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展。另外面对防不胜防的网页病毒，也使得用户对杀毒软件的要求越来越高。(2)经常升级病毒库，杀毒软件对病毒的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快，变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒。(3)提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码。当运行IE时，点击“工具→Internet选项→安全→Internet区域的安全级别”，把安全级别由“中”改为“高”，同时在IE设置中将ActiveX及Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。因为这一类网页主要是含有恶意代码的ActiveX、Applet或JavaScript的网页文件。(4)不随意查看陌生邮件，尤其是带有附件的邮件。由于有的病毒邮件能够利用IE和outlook的漏洞自动执行，所以用户需要经常下载IE和outlook的补丁程序。木马病毒木马全称是“特洛伊木马（TrojanHorse）”，原指古希腊人把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在internet上，木马指在可从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序。特洛伊木马（Trojan）病毒（也叫黑客程序或后门病毒）是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件、窃取密码、记录键盘、攻击等功能，会破坏用户系统甚至使用户系统瘫痪。1986年出现了世界上第一个计算机木马病毒，它伪装成Quicksoft公司发布的共享软件PC-Write的2.72版本。4.1木马病毒4.1.1木马病毒的功能只要人们在本地计算机上能操作的功能，目前的木马基本上都能实现。换言之，木马的控制端可以向本地一样操作远程计算机。木马的功能可以概括为以下内容：窃取数据以窃取数据为目的，本身不破坏计算机的文件盒数据，不妨碍系统的正常工作，它以系统使用者很难察觉的方式向外传送数据。接受非授权操作者的指令当网络中的木马被激活后，它可以获取网络服务器系统管理员的权限，随心所欲地窃取密码和各类数据，逃避追踪，并不会留下任何痕迹。这时，网络安全的各种措施对它都毫无作用。篡改文件和数据对系统文件盒数据有选择地进行篡改，使计算机处理的数据产生错误的结果，导致做出错误的决策。有时也对数据进行加密删除文件和数据将系统中的文件和数据有选择的删除或全部删除。施放病毒将原先埋伏在系统中但处于休眠状态的病毒激活，或从外界将病毒导入计算机系统，使其感染并实施破坏使系统自毁4.1.2木马病毒的特点及危害从本质上讲，木马是一种基于远程控制的工具，类似于远端管理软件，如PCAnywhere。与一般远程管理软件的区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现会采用多种手段隐藏木马。非授权性是指一旦控制端与服务端建立连接后，控制端将窃取用户密码，以及获得大部分操作权限。木马病毒之所以能造成很大损失，其根本原因是其隐蔽性非常强。下面我们就对木马病毒的隐藏方式进行详细分析。将自己伪装成系统文件木马病毒会想方设法将自己伪装成“不起眼”的文件或“正规”的系统文件，并把自己隐藏在系统文件夹中，与正常文件混在一起。例如，把服务端的文件命名为Mircosoft.sys，病毒会故意将几个字母的顺序颠倒或写错，使一般用户很难发现，即便发现也会认为是微软自带的系统程序，从而丧失警惕性。将木马病毒的服务端伪装成系统服务木马病毒会将自己伪装成“系统服务”，从而不出现在任务管理器，以逃过用户的检查。将木马程序加载到系统文件中win.ini和system.ini是两个比较重要的系统文件。在win.ini中有两个重要的加载项“run=”和“load=”，默认情况下，这两项值为空。有些木马会隐藏在win.ini中，若这两个加载项后有陌生启动程序，则其很可能是木马程序。充分利用端口隐藏计算机默认有65535个端口，常用的端口不到默认值的1/3.。病毒通常会隐藏在不常用端口，一般是1024以上的高端口。一些“高级”木马程序具有端口修改功能，使得用户端口扫描十分困难。隐藏在注册表中注册表中含有run的启动项是木马病毒经常隐藏的地方。自动备份为避免在被发现之后清楚，有些木马会自动进行备份。这些备份的文件在木马被清楚之后激活，并再次感染系统木马程序与其他程序绑定进程注入利用远程线程的方式隐藏通过拦截系统功能调用的方式来隐藏自己通过先发制人的方法攻击杀毒软件综上所述，由于没有服务端的支持，木马病毒就无法达到远程控制和破坏的目的，所以，木马病毒除了传播外，首要目的就是想方设法将自己伪装隐藏起来，以便在运行时不被用户发现。4.1.3木马病毒的结构和工作原理木马病毒一般分为客户端（client）和服务端（server）两部分。木马病毒的客户端是控制端，扮演着“服务器”的角色，是使用各种命令的控制台，而服务端是被控制端。特洛伊木马的结构木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成，如下图木马程序：驻留在受害者的系统中，非法获取其操作权限，负责接收控制指令，并根据指令或配置发送数据给控制端。木马配置程序：设置木马程序的端口号、触发条件、木马名称等，使其在服务器端隐藏得更隐蔽。控制程序：远程控制木马服务器，有些控制程序集成了木马的配置功能。特洛伊木马的基本原理用木马进行网络入侵，从过程上看大致可分为6步，如下图4.1.4木马的分类

自木马程序诞生至今，己经出现了多种类型，想要把它们来一次完全的列举和说明是不可能的事情，更何况大多数的木马都不是单一功能的木马，它们往往具有很多种功能的集成品，甚至有很多从未公开的功能在一些木马中也广泛地存在着。但是，对于木马程序还是有一个初步的分类，它主要包括远程控制木马、密码发送木马、键盘记录木马、破坏性质的木马、DOS攻击木马、代理木马、FTP木马、程序杀手木马、反弹端口型木马等等。我们就其中几种常见的木马进行间要的介绍与分析。1.远程控制木马

远程控制木马是数量最多，危害最大，同时知名度也是最高的一种木马，它可以让攻击者完全控制被感染的计算机，攻击者可以利用它完成一些甚至连计算机主人本身都不能顺利进行的操作，其危害之大实在不容小觑。由于要达到远程控制的目的，所以，该种类的木马往往集成了其他种类木马的功能。使其在被感染的机器上为所欲为，可以任意访问文件，得到机主的私人信息甚至包括信用卡，银行账号等至关重要的信息。

冰河木马就是一个远程访问型木马，这类木马用起来是非常简单的，只需有人运行服务端并且得到了受害人的IP，就会访问到他的电脑,他们能在你的机器上干任何事。

远程控制型木马的普遍特征是:键盘记录，上传和下载功能，注册表操作，限制系统功能等等。2.密码发送木马

在信息安全日益重要的今天，密码无疑是通向重要信息的一把极其有用的钥匙，只要掌握了对方的密码，从很大程度上说，就可以无所顾忌地得到对方的很多信息。而密码发送型的木马正是专门为了盗取被感染计算机上的密码而编写的，木马一旦被执行，就会自动搜索内存，Cache，临时文件夹以及各种敏感密码文件，一旦搜索到有用的密码，木马就会利用免费的电子邮件服务将密码发送到指定的邮箱，从而达到获取密码的目的，所以这类木马大多使用25号端口发送E-mail，大多数这类的特洛伊木马不会在每次Windows重启时重启。

这种木马的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们发送到指定的信箱，如果特意找寻隐藏密码，这些特洛伊木马就是很危险的了。3.键盘记录木马

这种木马是非常简单的，它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。这种木马随着Windows的启动而启动，它们有在线和离线记录这样的选项，顾名思义，它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键，下木马病毒的人都知道，从这些按键中他很容易就会得到你的密码等有用信息，甚至是你的信用卡账号。对于这种类型的木马，邮件发送功能也是必不可少的。

4.其他几种常见木马

（1）破坏性质的木马：破坏被感染计算机的文件系统，使其遭受系统崩溃或者重要数据丢失的巨大损失。

（2）DOS攻击木马：这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。

（3）代理木马：通过代理木马，攻击者可以在匿名的情况下使用Telnet，CQ，IRC等程序，从而隐蔽自己的踪迹。

（4）FTP木马：这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。

（5）程序杀手木马：程序杀手木马的功能就是关闭对方机器上运行的防木马软件这类程序，让其他的木马更好地发挥作用。4.1.5木马的发展

随着互联网的迅速发展，木马的攻击、危害性也越来越大，它从一开始出现到后来网络的发展，大致经历了以下三个阶段：1.第一代木马

：伪装型病毒

世界上第一个计算机木马是出现在1986年的PC-Write木马，这种病毒通过伪装成一个合法性程序诱骗用户上当，一旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。此时的第一代木马还不具备传染特征。

2.第二代木马

：AIDS型木马

在1989年出现了AIDS木马，由于当时很少有人使用电子邮件，所以AIDS的作者就利用现实生活中的邮件进行散播：给其他人寄去一封含有木马程序的软盘邮件。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征，尽管通过传统的邮递方式。

3.第三代木马：网络传播性木马

随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥，同时他还有新的特征：

第一，

添加了“后门”功能：所谓后门就是一种可以为计算机系统秘密开启访问入口的程序，一旦被安装，这些程序就能够使攻击者绕过安全程序进入系统。

第二，

添加了击键记录功能：该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比较有名的有国外的BO2000（Back

Orifice）和国内的冰河木马。它们有如下共同特点：基于网络的客户端/服务器应用程序，具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。4.2木马病毒举例“灰鸽子”病毒（Backdoor.Huigezi）：灰鸽子（Hack.Huigezi）是一个集多种控制方法于一体的木马病毒，一旦用户电脑不幸感染，可以说用户的一举一动都在黑客的监控之下，要窃取账号、密码、照片、重要文件都轻而易举。更甚的是，他们还可以连续捕获远程电脑屏幕，还能监控被控电脑上的摄像头，自动开机（不开显示器）并利用摄像头进行录像。截至2006年底，“灰鸽子”木马已经出现了6万多个变种。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。“冰河”：冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词。“浮云”：盗取网民钱财高达千万元的“浮云”成为了2012年度震惊全国的木马。首先诱骗网民支付一笔小额假订单，却在后台执行另外一个高额定单，用户确认后，高额转账资金就会进入黑客的账户。该木马可以对20多家银行的网上交易系统实施盗窃“黏虫”：“黏虫”木马专盗QQ。“打印机木马”：“打印机木马”疯狂消耗纸张。2012年6月，号称史上最不环保的“打印机木马”（Trojan.Milicenso）现身，美国、印度、北欧等地区大批企业电脑中招，导致数千台打印机疯狂打印毫无意义的内容，直到耗完纸张或强行关闭打印机才会停止。4.3防范木马病毒的安全建议使用专业安全厂商的正版防火墙产品，邀请经验丰富的信息安全专家对杀毒软件和防火墙进行合理配置。使用工具软件隐藏本机的真实IP地址。注意电子邮件的安全，尽量不要在公共网络公开自己关键的邮箱地址，不要打开从陌生地址发来的电子邮件，更不要在没有采取任何防护措施的情况下打开或下载邮件的附件。在使用即时通信工具时，不要轻易运行“好友”发送来的程序或单击相关链接。对从网上下载的任何程序都要使用杀毒软件或木马诊断软件进行反复查杀，在确认安全后再运行。尽量少浏览和访问个人网站。不要隐藏文件的扩展名。一些扩展名为VBS、SHS、PIF的文件多为木马病毒的特征文件。定期观察容易被病毒利用的启动配置，熟悉每一个配置对应的文件，一旦发现陌生启动项，立即检查是否为病毒创建。定期观察系统服务管理器中的服务，检查是否有病毒新建的服务进程。根据文件创建日期定期观察系统目录下是否有近期新创建的可执行文件，如果有，则很可能为病毒文件。病毒对抗计算机病毒技术和病毒防治技术是在相互对抗中共同发展的，总体来说，病毒防治技术略滞后于病毒技术。但由于许多安全厂商不断地研制升级其防病毒产品，使得防病毒技术能够有效地查杀绝大多数病毒。因此，对于大多数计算机用户来说，防治病毒首先需要选择一个有效的防病毒产品，并及时进行产品升级。从计算机病毒防治技术来看，主要包括检测、清除、预防和免疫四个方面。其中，检测和清除是根治病毒的有力手