木马名称的由来
木马病毒入侵电脑木马这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。
木马基本概念
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。
传统木马
传统木马都由两部分组成:客户端和服务器端,即C/S(Client/Server)类型。客户端在本地主机执行,用来控制服务器端。服务器端在远程主机执行,一旦执行成功,远程主机就中了木马,就可以被控制或者造成其他的破坏。
新型木马
反弹端口木马,该木马与传统木马最大的区别在于服务端一旦被执行,会主动连接客户端。由于防火墙一般是许出不许进,这样反弹端口木马就利用了防火墙这一特点,穿透防火墙。
为了躲避防病毒软件的查杀,DLL木马也诞生了。任何一个程序运行都需要调用自身的DLL程序,由于DLL文件本身是不能执行的,所以杀毒软件不会把它列到查杀范围当中。DLL木马利用应用程序进程都要调用很多DLL文件这种特点,把自己插入到普通的应用程序的进程中,使用户无法在任务管理器当中发现木马的任何踪迹。所以DLL木马又被人们称为无进程木马,隐蔽性相当强。
由于网络游戏和IM软件的盛行,在巨大的利益面前,使各种盗号木马迅速的生根发芽。千万不要小看这些盗号木马,在技术上丝毫不亚于经典的木马,甚至某些地方比那些老牌木马更为强大。
木马的通用解法
1.发现木马
无论什么木马,都想要破坏系统必须的依赖网络,所以我们可以利用“netstat -nao”命令来查看本机当前的网络连接及使用的端口号。
如果遇到的是DLL木马,我们看到的进程有可能是正常的系统进程,可以利用命令行的工具listdlls.exe,键入“listdlls exe文件名称”,就可以查看到这个exe程序对应的DLL。
2.结束木马进程
如果遇到的是普通木马,那么用户可以直接在“任务管理器”中右击结束木马进程。如果是DLL木马,仍然需要借助listdlls.exe的帮助,在键入“listdlls –d dll文件名称”后,即可将DLL进程结束。
3.还原木马修改的注册表键值
木马最喜欢光顾的注册表键值莫过于系统中的文件关联,因为文件关联对系统的影响尤为重要,因为木马如果关联了一个文件类型,那么用户一旦打开该类型的文件,木马就会被执行了。例如冰河木马,会把自身和.txt文件关联,只要有一个.txt文件被打开,木马就会先执行自己,再调用原来打开.txt文件的程序来打开.txt文件。
4.删除病毒启动项
为什么在清除木马以后,重新启动计算机,木马又回来了?其根本原因就是木马把自己加载到了启动项当中,虽然用户清除了木马,但是一旦系统重启,木马将再次得到加载,所以我们必须将系统启动项中的木马清除干净。
1、几乎所有的木马都喜欢利用注册表来达到随系统启动的目的
2、修改System.ini。该文件位于系统文件夹下,是系统启动的必需文件。正常情况下,shell=后面应该只有explorer.exe,如果发现加进去了其他程序,则很有可能是感染了木马。
木马会修改注册表的以下项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
3、修改Win.ini。该文件记录了系统的基本信息,也是启动时必须要执行的文件之一。在它的Windows字段里,默认情况下load和run后面为空,如果发现任何一个后面被加进去了程序的地址,则肯定中了木马,并且这里就是木马的启动地址。
4、修改Autoexec.bat。这个批处理文件是专门用来执行一些需要在启动时执行的程序的,位于系统盘的根目录下。如果用户不需要利用该文件在开机时执行某些程序,完全可以删除该文件。默认情况下该文件里无可执行程序,如果发现里面有了其他语句就需要注意了,说不定已经感染了木马。
5、修改“启动”组。“启动”组是一个以文件夹形式存在的系统目录,它不能被删除,任何程序只要位于该文件夹下,就会毫无条件的在开机时自动运行。所以这也成了木马很好的启动方式之一。依次打开 “开始→程序”,就会发现有一个“启动”文件夹。如果发现里面有了不明程序,则很可能是中了木马。
6、修改服务这是一种非常隐蔽的启动方式,木马把自己注册为系统服务,并设置服务属性为“自动”。由于所有属性为“自动”的服务都会在开机时被执行,木马当然也不例外。在“运行”里输入services.msc并回车,就可以打开“服务”窗口,如果发现其中存在没有描述的服务,就需要注意了,该程序多半也是木马程序。
最后也是最为简单的一步,在系统中搜索木马文件的名称,当找到木马原文件后,将它删除即可
【编辑推荐】
