特洛伊木马的危害与防范

4/4特洛伊木马的危害与防范特洛伊木马的危害与防范

内容

权限，如操作文件、修改注册表、控制外设等。

木马是一种后门程序，就象先前所说的，它进去了，而且是你把它请进去的，要怪也只能怪自己不小心，混进去的希腊士兵打开了特洛伊的城门，木马程序也会在你的系统打开一个“后门”，黑客们从这个被打开的特定“后门”进入你的电脑，就可以随心所欲地摆布你的电脑了。黑客们通过木马进入你的电脑后能够做什么呢？可以这样说，你能够在自己的电脑上做什么，他也同样可以办到。你能够写文件，他也可以写，你能够看图片，他也可以看，他还可以得到你的隐私、密码，甚至你鼠标的每一下移动，他都可以尽收眼底!而且还能够控制你的鼠标和键盘去做他想做的任何事，比如打开你珍藏的照片，然后在你面前将它永久删除，或是冒充你发送电子邮件、进行网上聊天、网上交易等活动，危害十分严重。

二、木马与病毒的区别

想到木马，人们就想到病毒，这里要为木马澄清一下，木马确实被杀毒软件认为是病毒，但是，木马本身不是病毒。反之，病毒也不是木马。电脑病毒是破坏电脑里的资料数据，而木马不一样，木马的作用是偷偷监视别人的操作和窃取用户信息，比如偷窃上网密码、游戏账号、股票账号、网上银行账号等。过去，黑客编写和传播木马的目的是为了窥探他人隐私或恶作剧，而当前木马已基本商业化，其目的直指目标计算机中的有用信息，以捞取实际的利益，并且已经形成了一条黑色产业链。着眼于窃取文件资料的木马，以摆渡木马为典型代表，其工作机制是能够跨过内外网之间的物理障碍，是各级涉密部门必须重点关注和防范的对象。

木马程序虽然不是病毒，但它可以和最新病毒或是漏洞利用工具捆绑在一起使用。当前，病毒和木马在技术上相互借鉴，在功能上相互融合，在传播上相互配合，有的程序同时具有木马和病毒的特征，很多时候难以明确区分它到底是病毒还是木马。病毒的传播和木马灵活的可控性结合起来，使得两者混合而成的“怪胎”，具有更加严重的危害性。根据有关部门公布的资料显示，2008年新增木马达到100多万个，预计2010年的时候这个数量将达到千万以上。由于木马威胁日趋严重，它已经取代传统病毒成为网络安全的头号大敌。加之木马和病毒呈现一体化的趋势，大多数反病毒厂商对木马和病毒已经不做严格区分，而是按照统一规则命名，并给予更高的关注。

杀毒软件查杀木马，多是根据木马体内的特征代码来判断。因此，在网络应用中，黑客常采用“偷梁换柱”的方法来保障木马不被查杀，黑客将合法的程序代码镶嵌到木马程序中来欺骗杀毒软件，躲过杀毒软件的查杀。尽管现在出现了越来越多的新版杀毒软件，可以查杀一些木马，但是不要认为使用有名厂家的杀毒软件电脑就绝对安全，稍微高明一点的木马几乎可以躲过绝大部分杀毒软件的查杀。可以这样说，对于上网用户而言，木马永远是防不胜防的。

三、特洛伊木马的发展

计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

第一代木马：伪装型病毒

这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木

马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本（事实上，编写PC-Write的Quicksoft公司从未发行过2.72版本），一旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。在我刚刚上大学的时候，曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序，当你把你的用户ID，密码输入一个和正常的登录界面一模一样的伪登录界面后后，木马程序一面保存你的ID,和密码，一面提示你密码错误让你重新输入，当你第二次登录时，你已成了木马的牺牲品。此时的第一代木马还不具备传染特征。

第二代木马：AIDS型木马

继PC-Write之后，1989年出现了AIDS木马。由于当时很少有人使用电子邮件，所以AIDS的就利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征（尽管通过传统的邮递方式）。

第三代木马：网络传播性木马

随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时还有了两个新特征，第一，添加了“后门”功能；第二，添加了击键记录功能；第三，有了视频监控和桌面监控等功能。

四、特洛伊木马的传播方式（用户如何中木马的）

特洛伊木马程序是通过伪装来欺骗用户安装的，而那些带有伪装的木马文件

是怎么传播到受害者的计算机中去的呢?总结一下主要有以下几种常见的路径。

一是通过不良链接传播。在一些网站、论坛、博客等信息发布平台，黑客会故意散布一些用户感兴趣的链接，诱骗用户访问不良网站或点击下载含有木马的文件。

二是通过即时通信工具传播。在MSN、等聊天过程中，一些套近乎的陌生人发送的文件中很可能含有木马。

三是通过电子邮件传播。黑客批量发送垃圾邮件，将木马藏在邮件的附件中，收件人只要查看邮件就会中招。现在的网络间谍攻击，手法越来越多样，越来越隐蔽。有一家涉密单位的工作人员收到了所谓的“上级机关”发来的一封邮件，内容是“病毒木马检测程序”。一看是自己人，来信又正好对路，工作人员没有多想就打开信件，运行程序，结果境外间谍机关的木马一下植入了电脑中，原来这个所谓的“上级机关”是境外网络间谍冒的名。像这样的网络间谍骗局花样繁多，针对不同的对象会设计不同的欺骗形式。比如伪装成被攻击对象很需要且很可信的邮件，有时点击右键甚至还会弹出诸如“无病毒"之类的提示来迷惑操。

四是通过下载网站传播。一些非正规的网站以提供免费软件下载为名，将木马捆绑在软件中。当用户下载安装这些经过捆绑的软件时，木马也随之被安进了系统。

五是通过网页浏览传播。也就是当前流行的“网页挂马"。如果说前几种传播途径尚需要受害者“主动”地安装木马，后者的工作原理是利用浏览器漏洞编写带有木马的网页，或者攻破其它知名网站后，在其网页上挂上木马，当用户浏览这些网页后，浏览器会在后台自动下载木马到目标计算机中并加以运行。

六是通过系统漏洞传播。黑客利用所了解的操作系统或软件漏洞及其特性在

网络中传播木马，其原理和蠕虫病毒如出一辙。

七是通过盗版软件传播。一些用户在计算机中安装的盗版操作系统，本身就带有木马，在这样的系统中工作和上网，安全性自然得不到保障。当前一些盗版的应用软件虽然打着免费的旗号，但多数也不太“干净”，要么附有广告，要么带有木马或病毒。

很多保密单位的内部工作网与互联网是物理隔离的，但是有关部门做安全检测时仍然从中发现了境外情报部门的木马。调查表明，一个重要的途径是摆渡攻击，利用的是优盘、移动硬盘之类的移动存储介质。境外间谍部门专门设计了各种各样的摆渡木马，并且搜集了大量我国保密单位工作人员的网址和邮箱，只要这些人当中有联网使用优盘等移动存储介质的，摆渡木马就会悄悄植入移动介质。一旦这些人违反规定在内部工作网的计算机上插入优盘等移动介质，摆渡木马立刻就会感染内网，把保密资料下载到移动介质上。完成这样的摆渡后，只要使用者再把这个介质接入互联网电脑，下载的情报就自动传到控制端的网络间谍那里。摆渡木马是一种间谍人员定制的木马，隐蔽性、针对性很强，一般只感染特定的计算机，普通杀毒软件和木马查杀工具难以及时发现，对国家重要部门和涉密单位的、信息安全威胁巨大。

五、中了特洛伊木马的征兆

1、在使用计算机的过程中如果发现：

2、计算机反应速度变慢；

3、硬盘在不停地读写；

4、鼠标键盘不听使唤；

5、窗口突然被关闭；

6、新的窗口被莫名其妙地打开；

7、网络传输指示灯一直在闪烁；

8、系统资源占用很多；

9、运行了某个程序没有反映；

10、在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明：用户的计算机中了木马病毒。

六、特洛伊木马的防范

鉴于木马危害的严重性，一旦感染，损失在所难免，而且新的变种层出不穷，因此，我们在检测清除它的同时，更要注意采取措施来预防它，在平时，注意以下几点能大大减少木马的侵入。

1、不要下载、接收、执行任何来历不明的软件或文件。在下载的时候需要特别注意，一般推荐去一些信誉比较高的站点，尽量使用正版软件。在软件安装之前一定要用反病毒软件检查一下，建议用专门查杀木马的软件进行检查，确定无毒和无马后再使用。

2、不要随意打开来历不明的邮件，即使是来自朋友的邮件也不要轻信，打开附件前必须经过杀毒。

3、不要浏览不健康、不正规的网站，这些网站都是“网页挂马”的高发地带，访问这些网站如同“闯雷区"，非常危险。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则最好单独开一个共享文件夹，把所有需要共享的文件都放在这个共享文件夹中，注

意千万不要将系统目录设置成共享。

5、安装反病毒软件和防火墙，最好再安装一套专门的木马防治软件，并及时升级代码库。虽然普通防病毒软件也能基本防治木马，但查杀效率和效果赶不上专业的木马防治软件。

6、及时打上操作系统的补丁，并经常升级常用的应用软件。不但操作系统存在漏洞，应用软件也存在漏洞，很多木马就是通过这些漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

当反病毒软件发出木马警告或怀疑系统有木马时，应尽快采取措施，减少损失。第一步，要马上拔掉网线，断开控制端对目标计算机的连接控制。第二步，换一台计算机上网，马上更改所有的账号和密码，特别是与工作密切相关的应用软件、网上银行、电子邮箱等，凡是需要输入密码的地方，都要尽快变更密码。第三步，备份被感染计算机上的