壹、木馬的來歷
計算機木馬是壹種後門程序,常被黑客用作控制遠程計算機的工具。英文單詞“Trojan”,直譯為“特洛伊”。木馬這個詞來源於壹個古老的故事:相傳古希臘戰爭,在攻打特洛伊時,久攻不下。後來希臘人使用了壹個計策,用木頭造壹些大的木馬,空肚子裏藏了很多裝備精良的勇士,然後佯裝又壹次攻打失敗,逃跑時就把那個大木馬遺棄。守城的士兵就把它當戰利品帶到城裏去了。到了半夜,木馬肚子裏的勇士們都悄悄的溜出來,和外面早就準備好的戰士們來了個漂亮的裏應外合,壹舉拿下了特洛伊城。這就是木馬的來歷。從這個故事,大家很容易聯想到計算機木馬的功能。
二、計算機木馬原理
計算機木馬壹般由兩部分組成,服務端和控制端,也就是常用的C/S(CONTROL/SERVE)模式。
服務端(S端):遠程計算機機運行。壹旦執行成功就可以被控制或者造成其他的破壞,這就要看種木馬的人怎麽想和木馬本身的功能,這些控制功能,主要采用調用Windows的API實現,在早期的dos操作系統,則依靠DOS終端和系統功能調用來實現(INT 21H),服務段設置哪些控制,視編程者的需要,各不相同。
控制端(C端)也叫客戶端,客戶端程序主要是配套服務段端程序的功能,通過網絡向服務段發布控制指令,控制段運行在本地計算機。
三、傳播途徑
木馬的傳播途徑很多,常見的有如下幾類:
1. 通過電子郵件的附件傳播。這是最常見,也是最有效的壹種方式,大部分病毒(特別是蠕蟲病毒)都用此方式傳播。首先,木馬傳播者對木馬進行偽裝,方法很多,如變形、壓縮、脫殼、捆綁、取雙後綴名等,使其具有很大的迷惑性。壹般的做法是先在本地機器將木馬偽裝,再使用殺毒程序將偽裝後的木馬查殺測試,如果不能被查到就說明偽裝成功。然後利用壹些捆綁軟件把偽裝後的木馬藏到壹幅圖片內或者其他可運行腳本語言的文件內,發送出去。
2. 通過下載文件傳播。從網上下載的文件,即使大的門戶網站也不能保證任何時候他的問件都安全,壹些個人主頁、小網站等就更不用說了。下載文件傳播方式壹般有兩種,壹種是直接把下載鏈接指向木馬程序,也就是說妳下載的並不是妳需要的文件。另壹種是采用捆綁方式,將木馬捆綁到妳需要下載的文件中。
3. 通過網頁傳播。大家都知道很多VBS腳本病毒就是通過網頁傳播的,木馬也不例外。網頁內如果包含了某些惡意代碼,使得IE自動下載並執行某壹木馬程序。這樣妳在不知不覺中就被人種上了木馬。順便說壹句,很多人在訪問網頁後IE設置被修改甚至被鎖定,也是網頁上用腳本語言編寫的的惡意代碼作怪。
4. 通過聊天工具傳播。目前,QQ、ICQ、MSN、EPH等網絡聊天工具盛行,而這些工具都具備文件傳輸功能,不懷好意者很容易利用對方的信任傳播木馬和病毒文件。