木馬病毒源自古希臘特洛伊戰爭中著名的“木馬計”而得名,顧名思義就是壹種偽裝潛伏的網絡病毒,等待時機成熟就出來害人。
傳染方式:通過電子郵件附件發出,捆綁在其他的程序中。
病毒特性:會修改註冊表、駐留內存、在系統中安裝後門程序、開機加載附帶的木馬。
木馬病毒的破壞性:木馬病毒的發作要在用戶的機器裏運行客戶端程序,壹旦發作,就可設置後門,定時地發送該用戶的隱私到木馬程序指定的地址,壹般同時內置可進入該用戶電腦的端口,並可任意控制此計算機,進行文件刪除、拷貝、改密碼等
從對基本的地方了解木馬
端口
妳在網絡上沖浪,別人和妳聊天,妳發電子郵件,必須要有***同的協議,這個協議就是TCP/IP協議,任何網絡軟件的通訊都基於TCP/IP協議。如果把互聯網比作公路網,電腦就是路邊的房屋,房屋要有門妳才可以進出,TCP/IP協議規定,電腦可以有256乘以256扇門,即從0到65535號“門”,TCP/IP協議把它叫作“端口”。當妳發電子郵件的時候,E-mail軟件把信件送到了郵件服務器的25號端口,當妳收信的時候,E-mail軟件是從郵件服務器的110號端口這扇門進去取信的,妳現在看到的我寫的東西,是進入服務器的80端口。新安裝好的個人電腦打開的端口號是139端口,妳上網的時候,就是通過這個端口與外界聯系的。黑客不是神仙,他也是通過端口進入妳的電腦。
黑客是怎麽樣進入妳的電腦的呢?當然也是基於TCP/IP協議通過某個端口進入妳的個人電腦的。如果妳的電腦設置了***享目錄,那麽黑客就可以通過139端口進入妳的電腦,註意!WINDOWS有個缺陷,就算妳的***享目錄設置了多少長的密碼,幾秒鐘時間就可以進入妳的電腦,所以,妳最好不要設置***享目錄,不允許別人瀏覽妳的電腦上的資料。除了139端口以外,如果沒有別的端口是開放的,黑客就不能入侵妳的個人電腦。那麽黑客是怎麽樣才會進到妳的電腦中來的呢?答案是通過特洛伊木馬進入妳的電腦。如果妳不小心運行了特洛伊木馬,妳的電腦的某個端口就會開放,黑客就通過這個端口進入妳的電腦。舉個例子,有壹種典型的木馬軟件,叫做netspy.exe。如果妳不小心運行了netspy.exe,那麽它就會告訴WINDOWS,以後每次開電腦的時候都要運行它,然後,netspy.exe又在妳的電腦上開了壹扇“門”,“門”的編號是7306端口,如果黑客知道妳的7306端口是開放的話,就可以用軟件偷偷進入到妳的電腦中來了。特洛伊木馬本身就是為了入侵個人電腦而做的,藏在電腦中和工作的時候是很隱蔽的,它的運行和黑客的入侵,不會在電腦的屏幕上顯示出任何痕跡。WINDOWS本身沒有監視網絡的軟件,所以不借助軟件,是不知道特洛伊木馬的存在和黑客的入侵。接下來,妳可以利用軟件--
如何發現自己電腦中的木馬
再以netspy.exe為例,現在知道netspy.exe打開了電腦的7306端口,要想知道自己的電腦是不是中了netspy.exe,只要敲敲7306這扇“門”就可以了。妳先打開C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如妳的IP地址是10.10.10.10),然後打開瀏覽器,在瀏覽器的地址欄中輸入 spy.exe的版本,那麽妳的電腦中了netspy.exe木馬了。這是最簡單最直接的辦法,但是需要妳知道各種木馬所開放的端口,已知下列端口是木馬開放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算妳熟悉了所有已知木馬端口,也還是不能完全防範這些木馬的,我們需要--
進壹步查找木馬
曾經做了壹個試驗:我知道netspy.exe開放的是7306端口,於是我用工具把它的端口修改了,經過修改的木馬開放的是7777端口了,妳現在再用老辦法是找不到netspy.exe木馬了。於是我們可以用掃描自己的電腦的辦法看看電腦有多少端口開放著,並且再分析這些開放的端口。
前面講了電腦的端口是從0到65535為止,其中139端口是正常的,首先找個端口掃描器,推薦“代理獵手”,妳上網以後,找到自己的IP地址,現在請關閉正在運行的網絡軟件,因為可能開放的端口會被誤認為是木馬的端口,然後讓代理獵手對0到65535端口掃描,如果除了139端口以外還有其他的端口開放,那麽很可能是木馬造成的。 排除了139端口以外的端口,妳可以進壹步分析了,用瀏覽器進入這個端口看看,它會做出什麽樣的反映,妳可以根據情況再判斷了。
掃描這麽多端口是不是很累,需要半個多小時傻等了,現在好了,我漢化了壹個線程監視器,Tcpview.exe可以看電腦有什麽端口是開放的,除了139端口以外,還有別的端口開放,妳就可以分析了,如果判定自己的電腦中了木馬,那麽,妳就得--
在硬盤上刪除木馬
最簡單的辦法當然是用殺毒軟件刪除木馬了,Netvrv病毒防護墻可以幫妳刪除netspy.exe和bo.exe木馬,但是不能刪除netbus木馬。
下面就netbus木馬為例講講刪除的經過。
簡單介紹壹下netbus木馬,netbus木馬的客戶端有兩種,開放的都是12345端口,壹種以Mring.exe為代表(472,576字節),壹種以SysEdit.exe為代表(494,592字節)。Mring.exe壹旦被運行以後,Mring.exe就告訴WINDOWS,每次啟動就將它運行,WINDOWS將它放在了註冊表中,妳可以打開C:\WINDOWS\REGEDIT.EXE進入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然後刪除這個健值,妳再到WINDOWS中找到Mring.exe刪除。註意了,Mring.exe可能會被黑客改變名字,字節長度也被改變了,但是在註冊表中的位置不會改變,妳可以到註冊表的這個位置去找。另外,妳可以找包含有“netbus”字符的可執行文件,再看字節的長度,我查過了,WINDOWS和其他的壹些應用軟件沒有包含“netbus”字符的,被妳找到的文件多半就是Mring.exe的變種。SysEdit.exe被運行以後,並不加到WINDOWS的註冊表中,也不會自動掛到其他程序中,於是有人認為這是傻瓜木馬,筆者倒認為這是最最可惡、最最陰險的木馬。別的木馬被加到了註冊表中,妳就有痕跡可查了,就連專家們認為最最兇惡的BO木馬也可以輕而易舉地被我們從註冊表中刪除。而SysEdit.exe要是掛在其他的軟件中,只要妳不碰這個軟件,SysEdit.exe也就不發作,壹旦運行了被安裝SysEdit.exe的程序,SysEdit.exe也同時啟動了。筆者在自己的電腦中做了這樣壹個實驗,將SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆綁起來,Abcwin.exe是智能ABC輸入法,當我開啟電腦到上網,只要沒有打開智能ABC輸入法打字聊天,SysEdit.exe也就沒有被運行,妳就不能進入我的12345端口,如果我什麽時候想打字了,壹旦啟動智能ABC輸入法(Abcwin.exe),那麽捆綁在Abcwin.exe上的SysEdit.exe也同時被運行了,我的12345端口被打開,別人就可以黑到我的電腦中來了。同樣道理,SysEdit.exe可以被捆綁到網絡傳呼機、信箱工具等網絡工具上,甚至可以捆綁到撥號工具上,電腦中的幾百的程序中,妳知道會在什麽地方發現它嗎?所以我說這是最最陰險的木馬,讓人防不勝防。
有的時候知道自己中了netbus木馬,特別是SysEdit.exe,能發現12345端口被開放,並且可以用netbus客戶端軟件進入自己的電腦,卻不知道木馬在什麽地方。這時候,妳可以檢視內存,請打開C:\WINDOWS\DRWATSON.EXE,然後對內存拍照,查看“高級視圖”中的“任務”標簽,“程序”欄中列出的就是正在運行的程序,要是發現可疑的程序,再看“路徑”欄,找到這個程序,分析它,妳就知道是不是木馬了。SysEdit.exe雖然可以隱藏在其他的程序後面,但是在C:\WINDOWS\DRWATSON.EXE中還是暴露了。
好了,來回顧壹下,要知道自己的電腦中有沒有木馬,只要看看有沒有可疑端口被開放,用代理獵手、Tcpview.exe都可以知道。要查找木馬,壹是可以到註冊表的指定位置去找,二是可以查找包含相應的可執行程序,比如,被開放的端口是7306,就找包含“netspy”的可執行程序,三是檢視內存,看有沒有可以的程序在內存中。
妳的電腦上的木馬,來源有兩種,壹種是妳自己不小心,運行了包含有木馬的程序,另壹種情況是,“網友”送給妳“好玩”的程序。所以,妳以後要小心了,要弄清楚了是什麽程序再運行,安裝容易排除難呀。排除了木馬以後,妳就可以監視端口--
悄悄等待黑客的來臨
介紹兩個軟件,首先是NukeNabber,它是端口監視器,妳告訴NukeNabber需要監視7306端口,如果有人接觸這個端口,就馬上報警。在別人看來,妳的電腦的7306端口是開放的,但是7306不是由netspy控制了,當NukeNabber發現有人接觸7306端口或者試圖進入妳的7306端口,馬上報警,妳可以在NukeNabber上面看到黑客對妳做了些什麽,黑客的IP地址是哪裏,然後,妳就可以反過來攻擊黑客了。當NukeNabber監視139的時候,妳就可以知道誰在用IP炸彈炸妳。另外提壹下,如果NukeNabber告訴妳不能監視7306端口,說這個端口已經被占用了,那麽說明妳的電腦中存在netspy了。第二個軟件就是Tcpview.exe,這個軟件是線程監視器,妳可以用它來查看有多少端口是開放的,誰在和妳通訊,對方的IP地址和端口分別是什麽。