木馬程序:電腦程序病毒-中文百科頻道

功能

木馬程序就是一個網絡上的Client/Server的概念。以下簡單介紹一些木馬程序的功能：

1、遠程監控

可以控制對方的鼠标、鍵盤和監視對方屏幕。

2、記錄密碼

3、取得電腦主機的信息資料

如果你在電腦用戶賬戶填上真名的話，對方就可能知道你的姓名了。

4、遠程控制

5、發送信息

其他資料

表現

1．出現與系統現有文件類似的文件名或進程名。

2．運用msinfo32.exe，發現在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun等項中出現不明鍵值。

3．有可疑進程訪問網絡。

4．有若幹Rundll32.exe進程

識别

1．集成到程序中

其實木馬也是一個服務器-客戶端程序，它為了不讓用戶能輕易地把它删除，就常常集成到程序裡，一旦用戶激活木馬程序，那麼木馬文件和某一應用程序捆綁在一起，然後上傳到服務端複蓋原文件，這樣即使木馬被删除了，隻要運行捆綁了木馬的應用程序，木馬又會被安裝上去了。綁定到某一應用程序中，如綁定到系統文件，那麼每一次Windows啟動均會啟動木馬。

2．隐藏在配置文件中

利用配置文件的特殊作用，木馬很容易就能在大家的計算機中運行、發作，從而偷窺或者監視大家。不過，現在這種方式不是很隐蔽，容易被發現，所以在Autoexec.bat和Config.sys中加載木馬程序的并不多見，但也不能因此而掉以輕心哦。

3．潛伏在Win.ini中

木馬要想達到控制或者監視計算機的目的，必須要運行，然而沒有人會傻到自己在自己的計算機中運行這個該死的木馬。當然，木馬也早有心理準備，知道人類是高智商的動物，不會幫助它工作的，因此它必須找一個既安全又能在系統啟動時自動運行的地方，于是潛伏在Win.ini中是木馬感覺比較惬意的地方。大家不妨打開Win.ini來看看，在它的[windows]字段中有啟動命令“load=”和“run=”，在一般情況下“=”後面是空白的，如果有後跟程序，比方說是這個樣子：run=c:windowsfile.exeload=c:windowsfile.exe，這個file.exe很可能是木馬哦。

4．僞裝在普通文件中

這個方法出現的比較晚，不過現在很流行，對于不熟練的windows操作者，很容易上當。具體方法是把可執行文件僞裝成圖片或文本----在程序中把圖标改成Windows的默認圖片圖标，再把文件名改為*.jpg.exe，由于Win98默認設置是"不顯示已知的文件後綴名"，文件将會顯示為*.jpg，不注意的人一點這個圖标就中木馬了。

5．内置到注冊表中

上面的方法讓木馬着實舒服了一陣，既沒有人能找到它，又能自動運行，真是快哉！然而好景不長，人類很快就把它的馬腳揪了出來，并對它進行了嚴厲的懲罰！但是它還心有不甘，總結了失敗教訓後，認為上面的藏身之處很容易找，現在必須躲在不容易被人發現的地方，于是它想到了注冊表！的确注冊表由于比較複雜，木馬常常喜歡藏在這裡快活，趕快檢查一下，有什麼程序在其下，睜大眼睛仔細看了，别放過木馬哦：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值；HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值。

6．在System.ini中藏身

Windows安裝目錄下的System.ini是木馬喜歡隐蔽的地方。打開文件看看，它與正常文件有什麼不同，在該文件的[boot]字段中，是不是有這樣的内容，那就是shell=Explorer.exe file.exe，如果确實有這樣的内容，那你就不幸了，因為這裡的file.exe就是木馬服務端程序！另外，在System.ini中的[386Enh]字段，要注意檢查在此段内的“driver=路徑程序名”，這裡也有可能被木馬所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]這三個字段，這些段也是起到加載驅動程序的作用，但也是增添木馬程序的好場所，現在你該知道也要注意這裡喽。

7．隐形于啟動組中

有時木馬并不在乎自己的行蹤，它更注意的是能否自動加載到系統中，因為一旦木馬加載到系統中，任你用什麼方法你都無法将它趕跑(哎，這木馬臉皮也真是太厚)，因此按照這個邏輯，啟動組也是木馬可以藏身的好地方，因為這裡的确是自動加載運行的好場所。動組對應的文件夾為：C:windowsstart menuprogramsstartup，在注冊表中的位置：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders Startup="C:windowsstart menuprogramsstartup"。要注意經常檢查啟動組哦！

8．隐蔽在Winstart.bat中

按照上面的邏輯理論，凡是利于木馬能自動加載的地方，木馬都喜歡呆。這不，Winstart.bat也是一個能自動被Windows加載運行的文件，它多數情況下為應用程序及Windows自動生成，在執行了Win.com并加載了多數驅動程序之後開始執行(這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運行，危險由此而來。

9．捆綁在啟動文件中

即應用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，将制作好的帶有木馬啟動命令的同名文件上傳到服務端複蓋這同名文件，這樣就可以達到啟動木馬的目的了。

10．設置在超級連接中

木馬的主人在網頁上放置惡意代碼，引誘用戶點擊，用戶點擊的結果不言而喻：開門揖盜！奉勸不要随便點擊網頁上的鍊接。

危害

危害本機信息安全：木馬程序多數有惡意企圖，例如盜取QQ帳号、遊戲帳号甚至銀行帳号，将本機作為工具來攻擊其他設備等；占用系統資源，降低電腦效能。

措施

（一）木馬查殺

基本能防禦大部分木馬，但是現在的軟件都不是萬能的，還要學點專業知識，有了這些，你的電腦就安全多了。

現在高手也很多，隻要你不随便訪問來曆不明的網站，使用來曆不明的軟件（很多盜版或破解軟件都帶木馬，這個看你自己經驗去區分），如果你都做到了，木馬，病毒。就不容易進入你的電腦了。

（二）删除木馬病毒

可以下載卡巴斯基（建議先卸載其他殺毒軟件）綠鷹PC萬能精靈，也可以下載瑞星殺毒軟件（建議先卸載其他殺毒軟件）

1．禁用系統還原（Windows Me/XP）

如果您運行的是 Windows Me或 Windows XP，建議您暫時關閉“系統還原”。此功能默認情況下是啟用的，一旦計算機中的文件被破壞，Windows可使用該功能将其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows禁止包括防病毒程序在内的外部程序修改系統還原。因此，防病毒程序或工具無法删除System Restore 文件夾中的威脅。這樣，系統還原就可能将受感染文件還原到計算機上，即使您已經清除了所有其他位置的受感染文件。

此外，病毒掃描可能還會檢測到System Restore文件夾中的威脅，即使您已将該威脅删除。

2．将計算機重啟到安全模式或者VGA模式

關閉計算機，等待至少30秒鐘後重新啟動到安全模式或者VGA模式

Windows 95/98/Me/2000/XP用戶：将計算機重啟到安全模式。所有Windows 32-bit作系統，除了Windows NT，可以被重啟到安全模式。更多信息請參閱文檔如何以安全模式啟動計算機。

Windows NT 4用戶：将計算機重啟到VGA模式。掃描和删除受感染文件啟動防病毒程序，并确保已将其配置為掃描所有文件。運行完整的系統掃描。如果檢測到任何文件被Download.Trojan感染，請單擊“删除”。如有必要，清除Internet Explorer曆史和文件。

如果該程序是在Temporary Internet Files文件夾中的壓縮文件内檢測到的，請執行以下步驟：啟動Internet Explorer。單擊“工具”>“Internet選項”。單擊“常規”選項卡“Internet臨時文件”部分中，單擊“删除文件”，然後在出現提示後單擊“确定”。在“曆史”部分，單擊“清除曆史”，然後在出現提示後單擊“是”。

3．關于病毒的危害，Download.Trojan會執行以下作：進入其作者創建的特定網站或FTP站點并試圖下載新的特洛伊木馬、病毒、蠕蟲或其組件。完成下載後，特洛伊木馬程序将執行它們。中了木馬不能打開殺毒軟件可以用360安全衛士安全啟動來先修複一下。

查殺

一般使用專門的木馬查殺工具來殺除，例如木馬克星、ewido、費爾托斯特等軟件。

目前的殺毒軟件多數也可以查殺大量木馬，但在殺除木馬方面沒有上述軟件更專業，因而推薦兩者配合使用。

對于最新出現的木馬，有時也可以到網絡搜尋特定的查殺工具來處理。

知道了“木馬”的工作原理，查殺“木馬”就變得很容易，如果發現有“木馬”存在，最有效的方法就是馬上将計算機與網絡斷開，防止黑客通過網絡對你進行攻擊。然後編輯win.ini文件，将[WINDOWS]下面，“run=“木馬”程序”或“load=“木馬”程序”更改為“run=”和“load=”；

編輯system.ini文件，将下面的“shell=‘木馬’文件”，更改為：“shell=explorer.exe”；

在注冊表中，用regedit對注冊表進行編輯，先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木馬”程序的文件名，再在整個注冊表中搜索并替換掉“木馬”程序，有時候還需注意的是：有的“木馬”程序并不是直接将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木馬”鍵值删除就行了，因為有的“木馬”如：BladeRunner“木馬”，如果你删除它，“木馬”會立即自動加上，你需要的是記下“木馬”的名字與目錄，然後退回到MS-DOS下，找到此“木馬”文件并删除掉。重新啟動計算機，然後再到注冊表中将所有“木馬”文件的鍵值删除。至此，我們就大功告成了。

途徑

通過郵件附件、程序下載等形式傳播：不要随意使用來曆不明的程序，因為可能被修改過含有木馬。

通過僞裝網頁登錄過程，騙取用戶信息進而傳播木馬。

通過攻擊系統安全漏洞傳播木馬：大量黑客使用專門的黑客工具來傳播木馬。

出現與系統現有文件類似的文件名或進程名。

運用msinfo32.exe，發現在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun等項中出現不明鍵值。

有可疑進程訪問網絡。

有若幹Rundll32.exe進程

木馬與病毒的區别：木馬一般不像電腦病毒一樣大量自我繁殖，也并不刻意感染其他程序。病毒程序以大量傳播為樂趣，而木馬程序以侵入特定電腦并獲得權限為目的。

木馬與adware（惡意廣告軟件）的區别：adware是一類特定的木馬，受廣告發布者控制，在用戶電腦上不斷彈出廣告内容。

木馬與遠程控制程序的區别：遠程控制程序公開、善意地控制其他電腦，以完成某些工作；木馬程序則是潛伏的、惡意的程序。

會想盡一切辦法隐藏自己，主要途徑有：在任務欄中隐藏自己，這是最基本的辦法。隻要把Form的Visible屬性設為False，ShowInTaskBar設為False，程序運行時就不會出現在任務欄中了。在任務管理器中隐形：将程序設為“系統服務”可以很輕松地僞裝自己。當然它也會悄無聲息地啟動，黑客當然不會指望用戶每次啟動後點擊“木馬”圖标來運行服務端，“木馬”會在

每次用戶啟動時自動裝載。Windows系統啟動時自動加載應用程序的方法，“木馬”都會用上，如：啟動組、Win.ini、System.ini、注冊表等都是“木馬”藏身的好地方。