• 正在加載中...
  • 木馬病毒

    木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼,是具備破壞和刪除文件、發送密碼、記錄鍵盤和攻擊Dos等特殊功能的后門程序。木馬病毒其實是計算機黑客用于遠程控制計算機的程序,將控制程序寄生于被控制的計算機系統中,里應外合,對被感染木馬病毒的計算機實施操作。一般的木馬病毒程序主要是尋找計算機后門,伺機竊取被控計算機中的密碼和重要文件等??梢詫Ρ豢赜嬎銠C實施監控、資料修改等非法操作。木馬病毒具有很強的隱蔽性,可以根據黑客意圖突然發起攻擊。

    編輯摘要

    基本信息 編輯信息模塊

    中文名: 木馬病毒 英文名: Trojan
    種類: 網游木馬、網銀木馬、下載類 目的: 毀壞、竊取被種者的文件
    類型: 計算機惡意代碼
    公车上被猛烈的进出

    目錄

    含義/木馬病毒 編輯

    計算機木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼,是具備破壞和刪除文件、發送密碼、記錄鍵盤和攻擊Dos等特殊功能的后門程序。 [1]

    木馬程序表面上是無害的,甚至對沒有警戒的用戶還頗有吸引力,它們經常隱藏在游戲或圖形軟件中,但它們卻隱藏著惡意。這些表面上看似友善的程序運行后,就會進行一些非法的行動,如刪除文件或對硬盤格式化。 [1]

    完整的木馬程序一般由兩部分組成:一個是服務器端.一個是控制器端?!爸辛四抉R”就是指安裝了木馬的服務器端程序,若你的電腦被安裝了服務器端程序,則擁有相應客戶端的人就可以通過網絡控制你的電腦。為所欲為。這時你電腦上的各種文件、程序,以及在你電腦上使用的賬號、密碼無安全可言了。 [1]

    發展歷程/木馬病毒 編輯

    木馬程序技術發展可以說非常迅速。主要是有些年輕人出于好奇,或是急于顯示自己實力,不斷改進木馬程序的編寫。至今木馬程序已經經歷了六代的改進: [2]

    第一代,是最原始的木馬程序。主要是簡單的密碼竊取,通過電子郵件發送信息等,具備了木馬最基本的功能。 [2]

    第二代,在技術上有了很大的進步,冰河是中國木馬的典型代表之一。 [2]

    第三代,主要改進在數據傳遞技術方面,出現了ICMP等類型的木馬,利用畸形報文傳遞數據,增加了殺毒軟件查殺識別的難度。 [2]

    第四代, 在進程隱藏方面有了很大改動,采用了內核插入式的嵌入方式,利用遠程插入線程技術,嵌入DLL線程?;蛘邟旖覲SAPI,實現木馬程序的隱藏,甚至在Windows NT/2000下,都達到了良好的隱藏效果?;银澴雍兔鄯浯蟊I是比較出名的DLL木馬。 [2]

    第五代,驅動級木馬。驅動級木馬多數都使用了大量的Rootkit技術來達到在深度隱藏的效果,并深入到內核空間的,感染后針對殺毒軟件和網絡防火墻進行攻擊,可將系統SSDT初始化,導致殺毒防火墻失去效應。有的驅動級木馬可駐留BIOS,并且很難查殺。 [2]

    第六代,隨著身份認證UsbKey和殺毒軟件主動防御的興起,黏蟲技術類型和特殊反顯技術類型木馬逐漸開始系統化。前者主要以盜取和篡改用戶敏感信息為主,后者以動態口令和硬證書攻擊為主。PassCopy和暗黑蜘蛛俠是這類木馬的代表。 [2]

    原理/木馬病毒 編輯

    木馬病毒 木馬病毒

    木馬病毒通常是基于計算機網絡的,是基于客戶端和服務端的通信、監控程序??蛻舳说某绦蛴糜诤诳瓦h程 控制,可以發出控制命令,接收服務端傳來的信息。服務端程序運行在被控計算機上,一般隱藏在被控計算機中,可以接收客戶端發來的命令并執行,將客戶端需要的信息發回,也就足常說的木馬程序。 [3]

    木馬病毒可以發作的必要條件是客戶端和服務端必須建立起網絡通信,這種通信是基于IP地址和端口號的。藏匿在服務端的木馬程序一旦被觸發執行,就會不斷將通信的IP地址和端口號發給客戶端??蛻舳死梅斩四抉R程序通信的IP地址和端口號,在客戶端和服務端建立起一個通信鏈路??蛻舳说暮诳捅憧梢岳眠@條通信鏈路來控制服務端的計算機。 [3]

    運行在服務端的木馬程序首先隱匿自己的行蹤,偽裝成合法的通信程序,然后采用修改系統注冊表的方法設置觸發條件,保證自己可以被執行,并且可以不斷監視注冊表中的相關內容。發現自己的注冊表被刪除或被修改,可以自動修復。 [3]

    種類/木馬病毒 編輯

    一、網游木馬

    隨著網絡在線游戲的普及和升溫,中國擁有規模龐大的網游玩家。網絡游戲中的金錢、裝備等虛擬財富與現實財富之間的界限越來越模糊。與此同時,以盜取網游帳號密碼為目的的木馬病毒也隨之發展泛濫起來。 [2]

    網絡游戲木馬通常采用記錄用戶鍵盤輸入、Hook游戲進程API函數等方法獲取用戶的密碼和帳號。竊取到的信息一般通過發送電子郵件或向遠程腳本程序提交的方式發送給木馬作者。網絡游戲木馬的種類和數量,在國產木馬病毒中都首屈一指。流行的網絡游戲無一不受網游木馬的威脅。一款新游戲正式發布后,往往在一到兩個星期內,就會有相應的木馬程序被制作出來。大量的木馬生成器和黑客網站的公開銷售也是網游木馬泛濫的原因之一。 [2]

    二、網銀木馬

    網銀木馬是針對網上交易系統編寫的木馬病毒,其目的是盜取用戶的卡號、密碼,甚至安全證書。此類木馬種類數量雖然比不上網游木馬,但它的危害更加直接,受害用戶的損失更加慘重。 [2]

    網銀木馬通常針對性較強,木馬作者可能首先對某銀行的網上交易系統進行仔細分析,然后針對安全薄弱環節編寫病毒程序。2013年,安全軟件電腦管家截獲網銀木馬最新變種“弼馬溫”,弼馬溫病毒能夠毫無痕跡的修改支付界面,使用戶根本無法察覺。通過不良網站提供假QVOD下載地址進行廣泛傳播,當用戶下載這一掛馬播放器文件安裝后就會中木馬,該病毒運行后即開始監視用戶網絡交易,屏蔽余額支付和快捷支付,強制用戶使用網銀,并借機篡改訂單,盜取財產。 [2]

    隨著中國網上交易的普及,受到外來網銀木馬威脅的用戶也在不斷增加。 [2]

    三、下載類

    這種木馬程序的體積一般很小,其功能是從網絡上下載其他病毒程序或安裝廣告軟件。由于體積很小,下載類木馬更容易傳播,傳播速度也更快。通常功能強大、體積也很大的后門類病毒,如“灰鴿子”、“黑洞”等,傳播時都單獨編寫一個小巧的下載型木馬,用戶中毒后會把后門主程序下載到本機運行。 [2]

    四、代理類

    用戶感染代理類木馬后,會在本機開啟HTTP、SOCKS等代理服務功能。黑客把受感染計算機作為跳板,以被感染用戶的身份進行黑客活動,達到隱藏自己的目的。 [2]

    五、FTP木馬

    FTP型木馬打開被控制計算機的21號端口(FTP所使用的默認端口),使每一個人都可以用一個FTP客戶端程序來不用密碼連接到受控制端計算機,并且可以進行最高權限的上傳和下載,竊取受害者的機密文件。新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進入對方計算機。 [2]

    六、通訊軟件類

    常見的即時通訊類木馬一般有3種:

    (1)發送消息型

    通過即時通訊軟件自動發送含有惡意網址的消息,目的在于讓收到消息的用戶點擊網址中毒,用戶中毒后又會向更多好友發送病毒消息。此類病毒常用技術是搜索聊天窗口,進而控制該窗口自動發送文本內容。發送消息型木馬常常充當網游木馬的廣告,如“武漢男生2005”木馬,可以通過MSN、QQ、UC等多種聊天軟件發送帶毒網址,其主要功能是盜取傳奇游戲的帳號和密碼 [2]

    (2)盜號型

    主要目標在于即時通訊軟件的登錄帳號和密碼。工作原理和網游木馬類似。病毒作者盜得他人帳號后,可能偷窺聊天記錄等隱私內容,在各種通訊軟件內向好友發送不良信息、廣告推銷等語句,或將帳號賣掉賺取利潤。 [2]

    (3)傳播自身型

    2005年初,“MSN性感雞”等通過MSN傳播的蠕蟲泛濫了一陣之后,MSN推出新版本,禁止用戶傳送可執行文件。2005年上半年,“QQ龜”和“QQ愛蟲”這兩個國產病毒通過QQ聊天軟件發送自身進行傳播,感染用戶數量極大,在江民公司統計的2005年上半年十大病毒排行榜上分列第一和第四名。從技術角度分析,發送文件類的QQ蠕蟲是以前發送消息類QQ木馬的進化,采用的基本技術都是搜尋到聊天窗口后,對聊天窗口進行控制,來達到發送文件或消息的目的。只不過發送文件的操作比發送消息復雜很多。 [2]

    七、網頁點擊類

    網頁點擊類木馬會惡意模擬用戶點擊廣告等動作,在短時間內可以產生數以萬計的點擊量。病毒作者的編寫目的一般是為了賺取高額的廣告推廣費用。此類病毒的技術簡單,一般只是向服務器發送HTTP GET請求。 [2]

    特征/木馬病毒 編輯

    (1)隱蔽性。

    木馬病毒可以長期存在的主要因素是它可以隱匿自己,將自己偽裝成合法應用程序,使得用戶難以識別,這是木馬病毒的首要也是重要的特征。與其它病毒一樣,這種隱蔽的期限往往是比較長的。經常采用的方法是寄生在合法程序之中、修改為合法程序名或圖標、不產生任何圖標、不在進程中顯示出來或偽裝成系統進程和與其它合法文件關聯起來等。 [3]

    (2)欺騙性。

    木馬病毒隱蔽的主要手段是欺騙.經常使用偽裝的手段將自己合法化。例如,使用合法的文件類型后綴名“dll、sys,ini’'等;使用已有的合法系統文件名,然后保存在其它文件目錄中;使用容易混淆的字符進行命名,例如字母“o”與數字“0”,數字“1”與字母“i”。 [3]

    (3)頑固性。

    木馬病毒為了保障自己可以不斷蔓延,往往像毒瘤一樣駐留在被感染的計算機中,有多份備份文件存在,一旦主文件被刪除,便可以馬上恢復。尤其是采用文件的關聯技術,只要被關聯的程序被執行,木馬病毒便被執行,并生產新的木馬程序,甚至變種。頑固的木馬病毒給木馬清除帶來巨大的困難。 [3]

    (4)危害性。

    木馬病毒的危害性是毋庸置疑的。只要計算機被木馬病毒感染,別有用心的黑客便可以任意操作計算機,就像在本地使用計算機一樣,對被控計算機的破壞可想而知。黑客可以恣意妄為,可以盜取系統的重要資源,例如:系統密碼、股票交易信息.機要數據等。 [3]

    傳播方式/木馬病毒 編輯

    木馬病毒的傳播方式比較多,主要有:

    (1)利用下載進行傳播,在下載的過程中進入程序,當下載完畢打開文件就將病毒植入到電腦中; [4]

    (2)利用系統漏洞進行傳播,當計算機存在漏洞,就成為木馬病毒攻擊的對象; [4]

    (3)利用郵件進行傳播,很多陌生郵件里面就摻雜了病毒種子,一旦郵件被打開,病毒就被激活; [4]

    (4)利用遠程連接進行傳播; [4]

    (5)利用網頁進行傳播,在瀏覽網頁時會經常出現很多跳出來的頁面,這種頁面就是病毒駐扎的地方; [4]

    (6)利用蠕蟲病毒進行傳播等。 [4]

    偽裝方式/木馬病毒 編輯

    鑒于木馬病毒的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑制作用,這是木馬設計者所不愿見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目的。 [2]

    1、修改圖標

    當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告訴你,這也有可能是個木馬程序,已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT,ZIP等各種文件的圖標,這有相當大的迷惑性,但是提供這種功能的木馬還不多見,并且這種偽裝也不是無懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。 [2]

    2、捆綁文件

    這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的情況下,偷偷的進入了系統。至于被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。 [2]

    3、出錯顯示

    木馬入侵 木馬入侵

    有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序,木馬的設計者 也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時,會彈出一個錯誤提示框(這當然是假的),錯誤內容可自由定義,大多會定制成一些諸如“文件已破壞,無法打開的!”之類的信息,當服務端用戶信以為真時,木馬卻悄悄侵入了系統。 [2]

    4、定制端口

    很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的端口就知道感染了什么木馬,所以很多新式的木馬都加入了定制端口的功能,控制端用戶可以在1024-65535之間任選一個端口作為木馬端口(一般不選1024以下的端口),這樣就給判斷所感染木馬類型帶來了麻煩。 [2]

    5、自我銷毀

    這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件后,木馬會將自己拷貝到WINDOWS的系統文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),一般來說原木馬文件和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那么中了木馬的朋友只要在收到的信件和下載的軟件中找到原木馬文件,然后根據原木馬的大小去系統文件夾找相同大小的文件,判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬后,原木馬文件將自動銷毀,這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工具幫助下,就很難刪除木馬了。 [2]

    6、木馬更名

    安裝到系統文件夾中的木馬的文件名一般是固定的,那么只要根據一些查殺木馬的文章,按圖索驥在系統文件夾查找特定的文件,就可以斷定中了什么木馬。所以有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名,這樣很難判斷所感染的木馬類型了。 [2]

    危害/木馬病毒 編輯

    木馬病毒對計算機的直接破壞方式是改寫磁盤,對計算機數據庫進行破壞,給用戶帶來不便。當木馬破壞程序后,使得程序無法運行,給計算機的整體運行帶來嚴重的影響。另外一些木馬可以通過磁盤的引導區進行,病毒具有強烈的復制功能,把用戶程序傳遞給外部鏈接者。還可以更改磁盤引導區,造成數據形成通道破壞。病毒也通過大量復制搶占系統資源,對系統運行環境進行干擾,影響計算機系統運行速度。 [5]

    隨著互聯網事業的發展,木馬看中了電子商務,在一些網絡購物上掛一些木馬程序,當用戶點擊時,很容易進入用戶系統,當用戶使用網絡銀行時。通過網上竊取銀行的密碼,之后盜取用戶財務,給計算機用戶造成巨大的經濟損失。在一些特殊的領域,木馬被用做攻擊的手段,如政治、軍事、金融、交通等眾多領域,成為一個沒有硝煙的戰場,利用木馬侵入對方,獲取相關信息或者進行破壞。 [5]

    木馬防范/木馬病毒 編輯

    1、檢測和尋找木馬隱藏的位置

    木馬侵入系統后,需要找一個安全的地方選擇適當時機進行攻擊,了解和掌握木馬藏匿位置,才能最終清除木馬。木馬經常會集成到程序中、藏匿在系統中、偽裝成普通文件或者添加到計算機操作系統中的注冊表中,還有嵌入在啟動文件中,一旦計算機啟動,這些木馬程序也將運行。 [5]

    2、防范端口

    檢查計算機用到什么樣的端口,正常運用的是哪些端口,而哪些端口不是正常開啟的;了解計算機端口狀態,哪些端口目前是連接的,特別注意這種開放是否是正常;查看當前的數據交換情況,重點注意哪些數據交換比較頻繁的,是否屬于正常數據交換。關閉一些不必要的端口。 [5]

    3、刪除可疑程序

    對于非系統的程序,如果不是必要的,完全可以刪除,如果不能確定,可以利用一些查殺工具進行檢測。 [5]

    4、安裝防火墻

    防火墻在計算機系統中起著不可替代的作用,它保障計算機的數據流通,保護著計算機的安全通道,對數據進行管控可以根據用戶需要自定義,防止不必要的數據流通。安裝防火墻有助于對計算機病毒木馬程序的防范與攔截。 [5]

    5、相關部門加強整治木馬產業鏈,完善相應的法律法規

    現階段,我國存在著一些專業的服務集團,這些集團的存在可以組成一條比較完善的木馬產業鏈。相對于社會安全法律,針對計算機安全的企管科,也應該受到有關部門和主體的重視與管理,需要建立對應的健全的法律措施。在2017年,我國計算機受到惡意感染的數量減少了百分之二十六,移動互聯網惡意程序的數量也逐漸呈現出一種下降的趨勢。正是由于《網絡安全法》的實施,在一定程度上抑制了惡意程序的擾民問題,該法律法規的頒布,從網絡的角度來看,強化了一些基礎性網絡設施的建設。因此,互聯網環境下,必須依靠全產業鏈的合作,強化每一條生產線上的管理工作,讓《網絡安全法》能夠發揮出它應有的價值。 [6]

    6、健全網站和網絡游戲的管理

    網站和網絡游戲開發商要加大對于網站和網絡游戲的管理與監督,爭取從源頭上就阻止木馬病毒,讓它沒有擴散的機會,這是防范網頁病毒和網絡游戲的主要方式之一。另外,網絡環境的和設備的日常維護、維修、管理工作都要加強,內容包括網站的服務器每日檢查,服務器內的數據和資料進行更新,操作、行為日志的核查等工作過,還需要對服務器的網絡配置、安全配置等情況進行嚴格的檢查等。 [6]

    7、增加網民的防范意識

    我國計算機用戶正在快速的增長,部分用戶對于自身信息的保護意識不強,大部分用戶的計算機上都沒有安裝一些殺毒軟件,或者是設置防火墻。他們應該深刻的意識到反病毒是一項長期且系統性的工作,主動了解這方面的相關知識,提高對于木馬病毒的防范措施。針對網站中攜帶的病毒問題,用戶還可以利用防火墻在木馬盜取用戶賬號、隱私之前,就將其攔截并殲滅。 [6]

    參考資料
    [1]^引用日期:2019-07-05
    [2]^引用日期:2019-07-05
    [3]^引用日期:2019-07-05
    [4]^引用日期:2019-07-05
    [5]^引用日期:2019-07-05
    [6]^引用日期:2019-07-05

    互動百科的詞條(含所附圖片)系由網友上傳,如果涉嫌侵權,請與客服聯系,我們將按照法律之相關規定及時進行處理。未經許可,禁止商業網站等復制、抓取本站內容;合理使用者,請注明來源于www.dtapes.com。

    登錄后使用互動百科的服務,將會得到個性化的提示和幫助,還有機會和專業認證智愿者溝通。

    互動百科用戶登錄注冊
    此詞條還可添加  信息模塊

    WIKI熱度

    1. 編輯次數:27次 歷史版本
    2. 參與編輯人數:20
    3. 最近更新時間:2019-06-20 17:54:54

    互動百科

    掃碼下載APP