木馬病毒是什麽

木馬

特洛伊木馬(以下簡稱木馬)，英文叫做“Trojan horse”，其名稱取自希臘神話的特洛伊木馬記。

它是壹種基於遠程控制的黑客工具，具有隱蔽性和非授權性的特點。

所謂隱蔽性是指木馬的設計者為了防止木馬被發現，會采用多種手段隱藏木馬，這樣服務端即使發現感染了木馬，由於不能確定其具體位置，往往只能望“馬”興嘆。

所謂非授權性是指壹旦控制端與服務端連接後，控制端將享有服務端的大部分操作權限，包括修改文件，修改註冊表，控制鼠標，鍵盤等等，而這些權力並不是服務端賦予的，而是通過木馬程序竊取的。

從木馬的發展來看，基本上可以分為兩個階段。

最初網絡還處於以UNIX平臺為主的時期，木馬就產生了，當時的木馬程序的功能相對簡單，往往是將壹段程序嵌入到系統文件中，用跳轉指令來執行壹些木馬的功能，在這個時期木馬的設計者和使用者大都是些技術人員，必須具備相當的網絡和編程知識。

而後隨著WINDOWS平臺的日益普及，壹些基於圖形操作的木馬程序出現了，用戶界面的改善，使使用者不用懂太多的專業知識就可以熟練的操作木馬，相對的木馬入侵事件也頻繁出現，而且由於這個時期木馬的功能已日趨完善，因此對服務端的破壞也更大了。

所以所木馬發展到今天，已經無所不用其極，壹旦被木馬控制，妳的電腦將毫無秘密可言。

鑒於木馬的巨大危害性，我們將分原理篇，防禦與反擊篇，資料篇三部分來詳細介紹木馬，希望大家對特洛伊木馬這種攻擊手段有壹個透徹的了解。

原理篇

基礎知識

在介紹木馬的原理之前有壹些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。

壹個完整的木馬系統由硬件部分，軟件部分和具體連接部分組成。

(1)硬件部分：建立木馬連接所必須的硬件實體。控制端：對服務端進行遠程控制的壹方。服務端：被控制端遠程控制的壹方。 INTERNET：控制端對服務端進行遠程控制，數據傳輸的網絡載體。

(2)軟件部分：實現遠程控制所必須的軟件程序。控制端程序：控制端用以遠程控制服務端的程序。木馬程序：潛入服務端內部，獲取其操作權限的程序。木馬配置程序：設置木馬程序的端口號，觸發條件，木馬名稱等，使其在服務端藏得更隱蔽的程序。

(3)具體連接部分：通過INTERNET在服務端和控制端之間建立壹條木馬通道所必須的元素。控制端IP，服務端IP：即控制端，服務端的網絡地址，也是木馬進行數據傳輸的目的地。控制端端口，木馬端口：即控制端，服務端的數據入口，通過這個入口，數據可直達控制端程序或木馬程序。

木馬原理

用木馬這種黑客工具進行網絡入侵，從過程上看大致可分為六步(具體可見下圖)，下面我們就按這六步來詳細闡述木馬的攻擊原理。

壹.配置木馬

壹般來說壹個設計成熟的木馬都有木馬配置程序，從具體的配置內容看，主要是為了實現以下兩方面功能：

(1)木馬偽裝：木馬配置程序為了在服務端盡可能的好的隱藏木馬，會采用多種偽裝手段，如修改圖標，捆綁文件，定制端口，自我銷毀等，我們將在“傳播木馬”這壹節中詳細介紹。

(2)信息反饋：木馬配置程序將就信息反饋的方式或地址進行設置，如設置信息反饋的郵件地址，IRC號，ICO號等等，具體的我們將在“信息反饋”這壹節中詳細介紹。

二.傳播木馬

(1)傳播方式:

木馬的傳播方式主要有兩種:壹種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發送出去, 收信人只要打開附件系統就會感染木馬;另壹種是軟件下載，壹些非正規的網站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載後，只要壹運行這些程序，木馬就會自動安裝。

(2)偽裝方式:

鑒於木馬的危害性,很多人對木馬知識還是有壹定了解的,這對木馬的傳播起了壹定的抑制作用,這是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目的。

(壹)修改圖標

當妳在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告訴妳,這也有可能是個木馬程序,現在已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷惑性,但是目前提供這種功能的木馬還不多見,並且這種偽裝也不是無懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。

(二)捆綁文件

這種偽裝手段是將木馬捆綁到壹個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的情況下 ,偷偷的進入了系統。至於被捆綁的文件壹般是可執行文件(即EXE,COM壹類的文件)。

(三)出錯顯示

有壹定木馬知識的人都知道,如果打開壹個文件,沒有任何反應,這很可能就是個木馬程序, 木馬的設計者也意識到了這個缺陷,所以已經有木馬提供了壹個叫做出錯顯示的功能。當服務端用戶打開木馬程序時,會彈出壹個如下圖所示的錯誤提示框(這當然是假的),錯誤內容可自由定義,大多會定制成壹些諸如“文件已破壞，無法打開的！”之類的信息，當服務端用戶信以為真時,木馬卻悄悄侵入了系統。

(四)定制端口

很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,只要查壹下特定的端口就知道感染了什麽木馬,所以現在很多新式的木馬都加入了定制端口的功能,控制端用戶可以在1024---65535之間任選壹個端口作為木馬端口(壹般不選1024以下的端口)，這樣就給判斷所感染木馬類型帶來了麻煩。

(五)自我銷毀

這項功能是為了彌補木馬的壹個缺陷。我們知道當服務端用戶打開含有木馬的文件後，木馬會將自己拷貝到WINDOWS的系統文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下)，壹般來說原木馬文件和系統文件夾中的木馬文件的大小是壹樣的(捆綁文件的木馬除外),那麽中了木馬的朋友只要在近來收到的信件和下載的軟件中找到原木馬文件,然後根據原木馬的大小去系統文件夾找相同大小的文件, 判斷壹下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後，原木馬文件將自動銷毀，這樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助下，就很難刪除木馬了。

(六)木馬更名

安裝到系統文件夾中的木馬的文件名壹般是固定的，那麽只要根據壹些查殺木馬的文章,按圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麽木馬。所以現在有很多木馬都允許控制端用戶自由定制安裝後的木馬文件名，這樣很難判斷所感染的木馬類型了。

三.運行木馬

服務端用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的系統文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),然後在註冊表,啟動組,非啟動組中設置好木馬的觸發條件 ,這樣木馬的安裝就完成了。安裝後就可以啟動木馬了，具體過程見下圖：

(1)由觸發條件激活木馬

觸發條件是指啟動木馬的條件,大致出現在下面八個地方:

1.註冊表:打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五個以Run 和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。

2.WIN.INI:C:WINDOWS目錄下有壹個配置文件win.ini，用文本方式打開，在[windows]字段中有啟動命令 load=和run=,在壹般情況下是空白的,如果有啟動程序,可能是木馬。 3.SYSTEM.INI:C:WINDOWS目錄下有個配置文件system.ini，用文本方式打開，在[386Enh],[mic]， [drivers32]中有命令行,在其中尋找木馬的啟動命令。

4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式壹般都需要控制端用戶與服務端建立連接後，將已添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行。

5.*.INI:即應用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。

6.註冊表:打開HKEY_CLASSES_ROOT文件類型\shellopencommand主鍵,查看其鍵值。舉個例子,國產木馬“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的鍵值,將“C :WINDOWS NOTEPAD.EXE %1”該為“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”，這時妳雙擊壹個TXT文件後，原本應用NOTEPAD打開文件的，現在卻變成啟動木馬程序了。還要說明的是不光是TXT文件，通過修改HTML，EXE，ZIP等文件的啟動命令的鍵值都可以啟動木馬，不同之處只在於“文件類型”這個主鍵的差別，TXT是txtfile,ZIP是WINZIP，大家可以試著去找壹下。

7.捆綁文件:實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然後控制端用戶用工具軟件將木馬文件和某壹應用程序捆綁在壹起，然後上傳到服務端覆蓋原文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會被安裝上去了。

8.啟動菜單:在“開始---程序---啟動”選項下也可能有木馬的觸發條件。

(2)木馬運行過程

木馬被激活後，進入內存，並開啟事先定義的木馬端口，準備與控制端建立連接。這時服務端用戶可以在MS-DOS方式下，鍵入NETSTAT -AN查看端口狀態，壹般個人電腦在脫機狀態下是不會有端口開放的，如果有端口開放，妳就要註意是否感染木馬了。下面是電腦感染木馬後，用NETSTAT命令查看端口的兩個實例：

其中①是服務端與控制端建立連接時的顯示狀態，②是服務端與控制端還未建立連接時的顯示狀態。

在上網過程中要下載軟件，發送信件，網上聊天等必然打開壹些端口，下面是壹些常用的端口：

(1)1---1024之間的端口：這些端口叫保留端口，是專給壹些對外通訊的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木馬會用保留端口作為木馬端口的。

(2)1025以上的連續端口：在上網瀏覽網站時，瀏覽器會打開多個連續的端口下載文字，圖片到本地硬盤上，這些端口都是1025以上的連續端口。

(3)4000端口：這是OICQ的通訊端口。

(4)6667端口：這是IRC的通訊端口。除上述的端口基本可以排除在外，如發現還有其它端口打開，尤其是數值比較大的端口，那就要懷疑是否感染了木馬，當然如果木馬有定制端口的功能，那任何端口都有可能是木馬端口。

四.信息泄露:

壹般來說，設計成熟的木馬都有壹個信息反饋機制。所謂信息反饋機制是指木馬成功安裝後會收集壹些服務端的軟硬件信息，並通過E-MAIL，IRC或ICO的方式告知控制端用戶。下圖是壹個典型的信息反饋郵件。

從這封郵件中我們可以知道服務端的壹些軟硬件信息，包括使用的操作系統，系統目錄，硬盤分區況，系統口令等，在這些信息中，最重要的是服務端IP，因為只有得到這個參數，控制端才能與服務端建立連接，具體的連接方法我們會在下壹節中講解。

五.建立連接：

這壹節我們講解壹下木馬連接是怎樣建立的。壹個木馬連接的建立首先必須滿足兩個條件：壹是服務端已安裝了木馬程序；二是控制端，服務端都要在線。在此基礎上控制端可以通過木馬端口與服務端建立連接。為了便於說明我們采用圖示的形式來講解。

如上圖所示A機為控制端，B機為服務端，對於A機來說要與B機建立連接必須知道B機的木馬端口和IP地址，由於木馬端口是A機事先設定的，為已知項，所以最重要的是如何獲得B機的IP地址。獲得B機的IP 地址的方法主要有兩種：信息反饋和IP掃描。對於前壹種已在上壹節中已經介紹過了，不再贅述，我們重點來介紹IP掃描，因為B機裝有木馬程序，所以它的木馬端口7626是處於開放狀態的，所以現在A機只要掃描IP地址段中7626端口開放的主機就行了，例如圖中B機的IP地址是202.102.47.56，當A機掃描到這個IP時發現它的7626端口是開放的，那麽這個IP就會被添加到列表中，這時A機就可以通過木馬的控制端程序向B機發出連接信號，B機中的木馬程序收到信號後立即作出響應，當A機收到響應的信號後，開啟壹個隨即端口1031與B機的木馬端口7626建立連接，到這時壹個木馬連接才算真正建立。值得壹提的要掃描整個IP地址段顯然費時費力，壹般來說控制端都是先通過信息反饋獲得服務端的IP地址，由於撥號上網的IP是動態的，即用戶每次上網的IP都是不同的，但是這個IP是在壹定範圍內變動的，如圖中 B機的IP是202.102.47.56，那麽B機上網IP的變動範圍是在202.102.000.000---202.102.255.255，所以每次控制端只要搜索這個IP地址段就可以找到B機了。

六.遠程控制：

木馬連接建立後，控制端端口和木馬端口之間將會出現壹條通道，見下圖

控制端上的控制端程序可藉這條通道與服務端上的木馬程序取得聯系,並通過木馬程序對服務端進行遠程控制。下面我們就介紹壹下控制端具體能享有哪些控制權限，這遠比妳想象的要大。

(1)竊取密碼：壹切以明文的形式，*形式或緩存在CACHE中的密碼都能被木馬偵測到，此外很多木馬還提供有擊鍵記錄功能，它將會記錄服務端每次敲擊鍵盤的動作，所以壹旦有木馬入侵，密碼將很容易被竊取。

(2)文件操作：控制端可藉由遠程控制對服務端上的文件進行刪除,新建,修改,上傳,下載,運行,更改屬性等壹系列操作,基本涵蓋了WINDOWS平臺上所有的文件操作功能。

(3)修改註冊表：控制端可任意修改服務端註冊表，包括刪除，新建或修改主鍵，子鍵，鍵值。有了這項功能控制端就可以禁止服務端軟驅，光驅的使用，鎖住服務端的註冊表，將服務端上木馬的觸發條件設置得更隱蔽的壹系列高級操作。

(4)系統操作：這項內容包括重啟或關閉服務端操作系統，斷開服務端網絡連接，控制服務端的鼠標，鍵盤，監視服務端桌面操作，查看服務端進程等，控制端甚至可以隨時給服務端發送信息，想象壹下，當服務端的桌面上突然跳出壹段話，不嚇人壹跳才怪

木馬和病毒都是壹種人為的程序,都屬於電腦病毒,為什麽木馬要單獨提出來說內?大家都知道以前的電腦病毒的作用,其實完全就是為了搞破壞,破壞電腦裏的資料數據,除了破壞之外其它無非就是有些病毒制造者為了達到某些目的而進行的威懾和敲詐勒索的作用,或為了炫耀自己的技術. "木馬"不壹樣,木馬的作用是赤裸裸的偷偷監視別人和盜竊別人密碼,數據等,如盜竊管理員密碼-子網密碼搞破壞,或者好玩,偷竊上網密碼用於它用,遊戲帳號,股票帳號,甚至網上銀行帳戶等.達到偷窺別人隱私和得到經濟利益的目的.所以木馬的作用比早期的電腦病毒更加有用.更能夠直接達到使用者的目的!導致許多別有用心的程序開發者大量的編寫這類帶有偷竊和監視別人電腦的侵入性程序,這就是目前網上大量木馬泛濫成災的原因.鑒於木馬的這些巨大危害性和它與早期病毒的作用性質不壹樣,所以木馬雖然屬於病毒中的壹類,但是要單獨的從病毒類型中間剝離出來.獨立的稱之為"木馬"程序.

壹般來說壹種殺毒軟件程序,它的木馬專殺程序能夠查殺某某木馬的話,那麽它自己的普通殺毒程序也當然能夠殺掉這種木馬,因為在木馬泛濫的今天,為木馬單獨設計壹個專門的木馬查殺工具,那是能提高該殺毒軟件的產品檔次的,對其聲譽也大大的有益,實際上壹般的普通殺毒軟件裏都包含了對木馬的查殺功能.如果現在大家說某某殺毒軟件沒有木馬專殺的程序,那這家殺毒軟件廠商自己也好象有點過意不去,即使它的普通殺毒軟件裏當然的有殺除木馬的功能.

還有壹點就是,把查殺木馬程序單獨剝離出來,可以提高查殺效率,現在很多殺毒軟件裏的木馬專殺程序只對木馬進行查殺,不去檢查普通病毒庫裏的病毒代碼,也就是說當用戶運行木馬專殺程序的時候,程序只調用木馬代碼庫裏的數據,而不調用病毒代碼庫裏的數據,大大提高木馬查殺速度.我們知道查殺普通病毒的速度是比較慢的,因為現在有太多太多的病毒.每個文件要經過幾萬條木馬代碼的檢驗,然後再加上已知的差不多有近10萬個病毒代碼的檢驗,那速度豈不是很慢了.省去普通病毒代碼檢驗,是不是就提高了效率,提高了速度內? 也就是說現在好多殺毒軟件自帶的木馬專殺程序只查殺木馬而壹般不去查殺病毒,但是它自身的普通病毒查殺程序既查殺病毒又查殺木馬!

隱形”木馬啟動方式揭秘

大家所熟知的木馬程序壹般的啟動方式有：加載到“開始”菜單中的“啟動”項、記錄到註冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]項和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]項中，更高級的木馬還會註冊為系統的“服務”程序，以上這幾種啟動方式都可以在“系統配置實用程序”(在“開始→運行”中執行“Msconfig”)的“啟動”項和“服務”項中找到它的蹤跡。

另壹種鮮為人知的啟動方式，是在“開始→運行”中執行“Gpedit.msc”。打開“組策略”，可看到“本地計算機策略”中有兩個選項：“計算機配置”與“用戶配置”，展開“用戶配置→管理模板→系統→登錄”，雙擊“在用戶登錄時運行這些程序”子項進行屬性設置，選定“設置”項中的“已啟用”項並單擊“顯示”按鈕彈出“顯示內容”窗口，再單擊“添加”按鈕，在“添加項目”窗口內的文本框中輸入要自啟動的程序的路徑，如圖所示，單擊“確定”按鈕就完成了。

添加需要啟動的文件面

重新啟動計算機，系統在登錄時就會自動啟動妳添加的程序，如果剛才添加的是木馬程序，那麽壹個“隱形”木馬就這樣誕生了。因為用這種方式添加的自啟動程序在系統的“系統配置實用程序”是找不到的，同樣在我們所熟知的註冊表項中也是找不到的，所以非常危險。

通過這種方式添加的自啟動程序雖然被記錄在註冊表中，但是不在我們所熟知的註冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]項和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]項內，而是在冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]項。如果妳懷疑妳的電腦被種了“木馬”，可是又找不到它在哪兒，建議妳到註冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]項裏找找吧，或是進入“組策略”的“在用戶登錄時運行這些程序”看看有沒有啟動的程序。

特洛伊木馬NetBus v.1.60的中文說明

概述

此程序是壹個遙控管理工具,更是壹個在局域網或在全球因特網上同朋友逗樂的軟件.

安裝

NetBus包含服務器和客戶機部分,服務器必須安裝在妳想逗樂的人的計算機上.客戶機屬妳掌握,它是控

制目標計算機的好程序.

把NetSever服務器,Patch.exe(可更名),放入目標計算機的任意位置並運行它,缺省時安裝在Windows中,

以更開機時自動運行. 把NetSever客戶機,裝在自己的計算機裏.開始NetBus,聯結妳選擇的域名或(IP地

址);如果Patch已在妳聯結的目標計算機中已運行. 讓我們開始逗樂!

註意:妳看不到Patch在運行-它Windows開始時自動運行,並隱藏.

Netbus和Patch使用TCP/IP協議.因此,妳的地址有域名或IP號.NetBus會用Connect按鈕把妳和某人聯上.

功能