國外比較有名的木馬是前幾年流行的“冰河”,這是壹個比較優秀的國產木馬。現在木馬有很多種,象“廣外幽靈”,“藍色火焰”,“網絡神偷”等,最近又新出壹個比較優秀的國產木馬程序-“灰鴿子”。
木馬的神奇之處在於其隱蔽性和強大的網絡通訊功能。在現在,很多木馬已經變成了病毒的壹種,成為各種殺毒軟件追殺的對象。不過這只限於那些知道的木馬,又很多未知或新出的木馬程序壹時還查殺不了。
木馬是壹種運行在計算機中的程序,壹個木馬程序通常由兩部分組成:客戶端和服務端。服務端是運行在被控制計算機上的程序,通常做得很小而且很隱蔽,以病毒的形式存在,開機的時候可以自動隨計算機啟動,沒有專門的查殺軟件或者不經過細致的分析很難查殺。而客戶端則是安裝在控制方使用機器上的壹個程序,通常都做成圖形界面,這樣,在安裝了客戶端的機器上就可以操縱安裝了服務端的機器(或者稱中了木馬病毒的機器),象查看對方的屏幕,竊取對方的密碼,讓對方死機等等,總之,凡是程序可以達到的功能,木馬都可以做到,這就是所謂的遠程控制,即用壹臺機器控制另外壹臺機器,只要這兩臺機器可以互相訪問。
木馬的傳輸協議壹般采用TCP/IP通訊協議,象常用的QQ通訊軟件,也是采用該協議,還有采用UDP協議的。
木馬壹般都是很隱蔽的,現在的木馬功能越來越強,而且不容易發現,中了木馬的機器是很危險的,因為妳很有可能已經被另外壹個人操縱了妳的機器,這樣妳的密碼等機密就可能泄漏。
對付木馬比較有效的辦法是安裝防火墻,但防火墻也不安全,因為有些木馬已經有針對性地破壞防火墻的某些功能,可以穿過防火墻和外界發生連接。
很多電腦初學者被人裝了木馬程序也不知道,所以,安全問題是最重要的,除了用殺毒軟件查殺外,還要平時留心壹點,這樣能更有效的保護妳的信息不致泄漏。
它可以遠程控制,可以匿名控制遠程計算機,竊取數據
例如"神速木馬"( Trojan.Mumu )它可以盜取“奇跡”和“傳奇”賬號的密碼的木馬病毒。
該病毒運行後將從體內放出PSIpcScan對所在網段的系統進行ipc密碼破解(帶有壹個簡單密碼字典)
當發現有破解出的密碼後,病毒將自己復制到對方的系統利用psexec並啟動。病毒還將盜取到的賬
號密碼發送到.com上指定的信箱。
手動清除方法:
先用任務管理器殺死last.exe進程和mumu.exe進程。
註冊表清除:
刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Folder Service
鍵值為:qjinfo.exe
刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Kernel
鍵值為:%winDir%bboy.exe
文件清除:
%windir%bboy.exe
%systemdir%last.exe
%systemdir%bboy.dll hook函數(盜密碼)
%systemdir%mumu.exe
%systemdir%qjinfo.ini 記錄下的遊戲賬號密碼
瑞星建議
1.建立良好的安全習慣。例如:不要輕易打開壹些來歷不明的郵件及附件,不要上壹些不太了解的網站,不要運行從互聯網上下載的未經殺毒處理的軟件等,這些必要的習慣會使您的計算機更加安全。
2.關閉或刪除系統中不需要的服務。默認情況下,操作系統會安裝壹些輔助服務,如 FTP 客戶端、Telnet 和 Web 服務器。這些服務為攻擊者提供了方便,而又對用戶沒有太大作用,如果刪除它們,就能大大減少被攻擊的可能性,增強電腦的安全。
3.經常升級安全補丁。據統計,大部分網絡病毒都是通過系統安全漏洞進行傳播的,象沖擊波、大無極、SCO炸彈、網絡天空等。漏洞的存在,會造成殺毒殺不幹凈的狀況,所以應該定期到微軟網站去下載最新的安全補丁,堵住系統的漏洞。
4.使用復雜的密碼。有許多網絡病毒是通過猜測簡單密碼的方式攻擊系統的,因此使用復雜的密碼,將會大大提高計算機的安全系數,減少被病毒攻擊的概率。
5.迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6.了解壹些病毒知識。這樣您就可以及時發現新病毒並采取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。如果能了解壹些註冊表知識,就可以定期看壹看註冊表的自啟動項是否有可疑鍵值;如果能了解壹些內存知識,就可以經常看看內存中是否有可疑程序。
7.最好是安裝專業的防毒軟件進行全面監控。在病毒日益增多的今天,使用殺毒軟件進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟件之後,應該經常進行升級、將壹些主要監控打開(如郵件監控)、遇到問題要及時上報, 這樣才能真正保障計算機的安全
還有"QQ木馬"( Trojan.Pwd.Oicq.c )這是壹個盜竊oicq密碼的木馬。病毒將自己拷貝到系統目錄,命名為SCANREGW.EXE,並登記為自啟動,隨windows啟動而運行。掛結鉤子,不停的取得窗口標題,如果和oicq相關,記錄oicq密碼。還會提示用戶:.tf去看看我的照片。
也有比較常見的特洛伊木馬 (Zelu特洛伊木馬)Zelu特洛伊木馬是以壹個名為Y2K.EXE的可執行文件進入計算機系統。病毒發作後,它會遍歷所有驅動器記錄的文
件,並用以下信息覆蓋所有文件:
" This file is sick! It was contaminated by the radiation liberated...
by the explosion of the atomic bomb... "。
隨著受破壞的文件被覆蓋,這些文件的內容將不能再恢復且永遠丟失。
現象:
當此特洛伊木馬執行後,它將顯示如下字符:"ChipTec Y2K - Freeware Version",同時屏幕中心顯示如下狀態信息:
- Timer
- Device Drivers
- File System
- BIOS
屏幕底部顯示以下內容:
Y2K Copyright (C) 1999 - 2002 ChipTec
All Rights Reserved
它是壹種基於遠程控制的黑客工具,具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會采用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,由於不能確定其具體位置,往往只能望“馬”興嘆。
所謂非授權性是指壹旦控制端與服務端連接後,控制端將享有服務端的大部分操作權限,包括修改文件,修改註冊表,控制鼠標,鍵盤等等,而這些權力並不是服務端賦予的,而是通過木馬程序竊取的。
從木馬的發展來看,基本上可以分為兩個階段。
最初網絡還處於以UNIX平臺為主的時期,木馬就產生了,當時的木馬程序的功能相對簡單,往往是將壹段程序嵌入到系統文件中,用跳轉指令來執行壹些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網絡和編程知識。
而後隨著WINDOWS平臺的日益普及,壹些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。
所以所木馬發展到今天,已經無所不用其極,壹旦被木馬控制,妳的電腦將毫無秘密可言。
傳染方式:通過電子郵件附件發出,捆綁在其他的程序中。
病毒特性:會修改註冊表、駐留內存、在系統中安裝後門程序、開機加載附帶的木馬。
木馬病毒的破壞性:木馬病毒的發作要在用戶的機器裏運行客戶端程序,壹旦發作,就可設置後門,定時地發送該用戶的隱私到木馬程序指定的地址,壹般同時內置可進入該用戶電腦的端口,並可任意控制此計算機,進行文件刪除、拷貝、改密碼等非法操作。
防範措施:用戶提高警惕,不下載和運行來歷不明的程序,對於不明來歷的郵件附件也不要隨意打開。
答案 就是壹個隱藏在妳電腦裏監視妳電腦的軟件,也可以說是病毒
木馬就是壹種程序。黑客利用此程序達到控制妳電腦的目的。盜各種帳號。惡意破壞之類