远离机密杀手

摘 要 每一个上网的用户都会和计算机病毒打交道，其中木马病毒也是最常见的病毒之一，今天让我们揭去它神秘的面纱，看看他到底是什么真面目。木马病毒全称为特洛伊木马病毒，名字来自于古老的古希腊传说，在《荷马史诗》中的木马计中以特洛伊指代了特洛伊木马，木马的英文全称Trojan，也是取自于木马计的故事。

关键词 木马 计算机病毒 木马病毒防治 木马原理

中图分类号：TP309.5 文献标识码：A

0 前言

每一个上网的用户都会和计算机病毒打交道，其中木马病毒也是最常见的病毒之一，今天让我们揭去它神秘的面纱，看看他到底是什么真面目。

木马病毒全称为特洛伊木马病毒，名字来自于古老的古希腊传说，在《荷马史诗》中的木马计中以特洛伊指代了特洛伊木马，木马的英文全称Trojan，也是取自于木马计的故事。

之所以将此种病毒命名为木马，是因为它的特点和木马计中的特洛伊木马极其相似，在木马计中，特洛伊木马是为了隐藏破坏，里应外合的，而这种计算机程序也起到了相同的作用，他不会自我繁殖，仅仅在计算机中以独立的个体存在，不会主动去感染其他文件，所以从表面上看来，它是一个十分安静的病毒。它会以各种方式吸引受害者去下载执行，进而控制受害者的电脑，向木马病毒施种者提供打开被种者电脑的门户，让施种者可以对被种者的电脑内的任何文件进行破坏，窃取等恶意操作。如果条件允许的情况下，木马病毒的施种者可以直接对被施种者电脑进行控制操作。

1 木马的原理及发展

1.1 木马病毒的原理

这种卑鄙的程序原理其实十分简单，对于一个完整的木马程序成品，会具有两个部分，即服务端（服务器部分）和客户端（控制器部分）。木马病毒的使用者会使用一切手段将服务端（服务器部分）植入被害者电脑，而其自身操作客户端来控制服务端。当被害者运行了服务端后，木马自身会伪装产生一个用于迷惑被害者的名称进程，进而打开向指定地点发送数据的端口。当然，如果条件允许的话，木马施种者也可以通过这些开放的端口来进入被害者的电脑，对被害者电脑系统进行破坏。

但是这种程序不能自动运行，这也是其一大特点，一般的木马施种者会把它伪装成一种对被害者有用的东西或者一份十分有趣的计划，木马则暗含在一些用户下载的文档中，当被害者选择运行这些文档程序的时候，连带着激活了木马程序，只有这样才能使木马病毒开始运行，对被害者的文件和重要资料进行窃取和破坏。虽然它具有对文件的窃取功能，但从定义上来讲，木马和后门程序之间还是有本质的区别的，后门是指隐藏在程序内部，为后门操作者日后随时进入被害者计算机系统而留下的设置程序。

1.2 木马病毒的发展

木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇，或是急于显示自己实力，不断改进木马程序的编写。至今木马程序已经经历了六代的改进：

第一代，是最原始的木马程序。主要是简单的密码窃取，通过电子邮件发送信息等，具备了木马最基本的功能，开始了木马程序的开端。

第二代，在技术上有了很大的进步，冰河是中国木马的典型代表之一。冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词。

第三代，主要改进在数据传递技术方面，利用畸形报文传递数据，增加了杀毒软件查杀识别的难度，出现了ICMP等类型的木马，代表性的木马是ICMP监控型木马。“ICMP木马”监控，木马程序英文名字Win32.Troj.IcmpCmd，该木马可以向指定的已经被植入该木马的IP地址发送命令，可以直接对感染的计算机进行口令修改，获得最高管理权，实现重启计算机打开远程SHELL、注入远程SHELL等，会给用户的机器带来不可预知的破坏。

第四代， 在进程隐藏方面有了很大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程。或者挂接PSAPI，实现木马程序的隐藏，甚至在Windows NT/2000下，都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。

第五代，驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果，并深入到内核空间的，感染后针对杀毒软件和网络防火墙进行攻击，可将系统SSDT初始化，导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS，并且很难查杀。

第六代，随着身份认证UsbKey和杀毒软件主动防御的兴起，黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主，后者以动态口令和硬证书攻击为主。

1.3 木马病毒的未来可能发展趋势

1.3.1 关于winPE的发展方面的发展

R0级内核攻防的技术不断进化，现在发展了内核驱动（各种HOOK）木马，MBR病毒以及BIOS病毒。只要被病毒或木马成功运行一次，整个系统的核心防线就会被直接打穿，瞬间就会导致崩溃。现在，感染了恶性病毒或木马后，基本上都会选择进入WinPE环境下进行查杀和修复。那问题来了：

会不会木马或病毒不仅在正常的Windows环境下可以运行，在WinPE环境一样可以运行，然后进行各种破坏？

预计发展进程：内核驱动木马MBR病毒BIOS病毒PE病毒

1.3.2 关于不被广大用户注意的硬件木马

目前的广大计算机木马病毒制造者都会把硬件方面的主要目标定位在CPU等重要硬件，但是2013年NVIDIA显卡驱动爆出漏洞，引起人们注意。未来，除CPU以外的如显卡，声卡，网卡等以前不太惹人注意的硬件设备会被木马病毒利用，所以不被广大用户注意的硬件会成为木马的目标。

2 伪装手段

首先最常见的还是修改图标和捆绑文件，起一种方式的伪装效果不是很好，一般情况下，木马病毒程序制造者会使用一些手段把木马的服务端的图标改成TXT，ZIP，HTML等看似没有什么伤害的各种文件图标，但是此种方法如果在显示扩展名的系统文件显示条件下，伪装就会暴露自己，因为文件后面和图标不符的扩展名就会暴漏自己。而后一种方法捆绑文件，一般会将木马程序绑在一种可执行性文件上，也可以防止看出扩展名带来的问题，当这种程序和被捆绑的程序一起运行时，就可以开始工作了

当然，木马设计者还会找出更好的方法，因为木马程序在运行的时候会出现点击文件后无响应，这样很容易暴漏自己，所以设计者会设计出一个文件出错的方法，当运行这个文件后就会有显示一个错误提示框，当被害者认为是真的时候，设计者的目的就达到了。也有的设计者会选择对木马进行更名，将木马安装成功后就对木马的文件名进行自由定制的权限放开，使用户难辨真伪。

更高端的伪装还有自我销毁和定制端口两者方法，自我销毁则是为了解决很多老木马病毒的缺点，即在木马运行后将自身销毁，使用户无法找到源文件。而定制端口方式是为了解决老木马病毒端口固定的问题，控制端的木马施种者可以在1024-65535之间随意定制，作为木马病毒的端口，但一般不选择1024以下的端口，因为不方便于隐藏。

3 木马病毒的分类与隐藏手段

3.1 木马病毒的分类

常见的为网游木马和即时通讯木马，面对当下网游的普及和对QQ等即时通讯工具软件的使用，木马设计者对网游下手，以盗取网游账号密码为目的，常见的为键盘记录，HOOK游戏进程API函数等手段。因为目前网游在中国处于上升的发展阶段，加上不法人员对木马病毒生成器和一些不法网站对木马病毒的公开销售，使该种病毒的种类和数量一直处于顶峰。而即时通讯类木马则目的多种，常见的有发送消息型，盗号型和传播自身型，主要用于发送有毒链接，偷窃聊天记录，倒卖账号，传播自身病毒等目的，也是目前种类和数量排名前列的木马种类。

还有一部分木马病毒和个人习惯有关，比如专门研制为了盗取网银的网银木马病毒，喜欢在网页中点击窗口的人则容易成为网页点击型木马的攻击目标，但此类木马一般是为了赚取较高的推广流量，所以设计简单。还有些伪装性较强，如下载类木马将自身安装成功后向被害者电脑中下载各种其他病毒程序或广告插件。类木马则在本机开启HTTP，SOCKS等服务功能，实现了跳板效果。面对FTP型木马，则控制21号端口，是每个人可以用一个FTP客户端程序不用密码就可以连接到受控计算机，并上传，下载，窃取其机密文件，在近些年的FTP木马中部分加入了密码功能，只有攻击者自身才能进入受害者计算机。

3.2 木马病毒的隐藏手段

对于木马，伪装不但要有表面功夫，还要找到合适的地点，所以计算机中很多阴暗角落就成了良好的隐藏的地点，现在就让我们一起发现他们，把他们拉到光天化日之下吧。

木马设计者采用很多种方法隐藏自己的程序，常见方法并不多。第一项，把自己的木马程序放入集成程序中，这也是目前广泛使用的方法，将自身和一款应用程序捆绑，如和操作系统绑住，那么只要运行了WINDOWS就可以自动运行了。第二项，木马可以藏身在Win.ini中，在win.ini中Windows字段后面如有启动命令“Load=”和“Run=”，一般“=”后面为空白的，若有其他文件，则有可能为木马程序。第三项，藏身于注册表，这种方法主要是利用注册表的复杂性，这着实让人痛苦。也有的木马会伪装到普通文件中，将自身后缀修改成“XXX.EXE”，也可以迷惑一些对计算机并不了解的人。类似的，木马也可以在Autoexec.bat和Config.sys中加载，利用配置文件运行自己。当然，有的木马设计者会在自己的网站上安置恶意代码，引诱受害者点击。

4 查杀木马

从专杀的角度来说，因为就木马自身很多本质性特点来讲，它不完全具备一个标准病毒的完整属性含义，所以从某种角度上来讲，木马不属于病毒，所以将其从广大病毒大军中剥离出来。现在大多软件制造者单独制作木马专杀，这样可以有效提高查杀效率，毕竟节约时间就是保护机密文件和信息不被泄漏的最好方式，越早处理，损失就越少。像瑞星，江民等大型杀毒案件公司单独制作的木马专杀工具已经基本普及，而类似于“木马杀客”等专业查杀木马的软件也毫不逊色。

从自身手动查杀角度讲，可以利用计算机上的命令提示符录入一些指令，也可以完成自己查杀的效果。首先在命令提示符中录入netstat-an命令，观察计算机上的链接。其次，利用net start找到不明服务项，利用net stor serve来禁用。

5 木马病毒的正常防范

5.1 木马病毒防范基本原理

经常使用木马专杀对系统内文件进行全盘检查，并且安装防火墙，过滤掉网上的一些危险文件包和不明恶意代码。另外不随意访问来历不明的网站，不用来历不明的软件，及时对系统的漏洞进行修复更新等，虽然我们手中握着杀死木马的利器，但是防范于未然，提高自身防范意识，才能让木马设计制造者无机可乘。

5.2 木马病毒防范细节

在面对木马病毒的防范，有一些小细节当然也需要注意：

（1）禁用OE自动收发邮件功能。

（2）安装杀毒软件，并及时更新。

（3）禁用文件系统对象FILESYSTEM OBJECT.

（4）对于文件的扩展名不进行隐藏，及时对新建文件的扩展名的进行检索，出现异常的文件要及时进行检索查杀。

木马是一种让人痛恨的病毒，它窃取机密文件，破坏系统文件，可谓无恶不做，但是当我们全面了解它以后，我相信我们必会彻底战胜它，让我们拥有一片更安全，更干净的网络家园。