木马概述

六、木马的防范
1、使用病毒防火墙或木马监控程序并及时升级 2、不要轻易打开来历不明的电子邮件附件 3、及时升级浏览器软件、电子邮件软件 4、到大型的网站上下载软件，下载后先进行杀毒 5、显示所有文件的扩展名
一、关于木马
• 木马，又叫特洛伊木马(Trojan Horse)，是一种恶意程序，是基于远 程控制的黑客工具，一旦侵入用户的 计算机，就悄悄地在宿主计算机上运 行，在用户毫无察觉的情况下，让攻 击者获得远程访问和控制系统的权限， 进而在用户的计算机中修改文件、修 改注册表、控制鼠标、监视/控制键盘， 或窃取用户信息。 • 古希腊特洛伊之战中利用木马攻陷特 洛伊城；现代网络攻击者利用木马， 采用伪装、欺骗等手段进入被攻击的 计算机系统中，窃取信息，实施远程 监控。
启动方式：集成(捆绑)到应用程序中、隐藏在Autoexec.bat和Config.sys
中、潜伏在Win.ini中、在System.ini中藏身、隐蔽在Winstart.bat中、隐藏在 应用程序的启动配置文件中、伪装在普通文件中、内置到注册表中、隐形于 启动组中、修改文件关联、修改运行可执行文件的方式、设置在超级链接 中。。。 木马常用的传播方式，有以下几种： 以邮件附件的形式传播； 木马伪装之后添加到附件中，发送给收件人； 通过QQ等聊天工具软件传播； 通过提供软件下载的网站传播； 通过一般的病毒和蠕虫传播； 通过带木马的磁盘和光盘进行传播。。。
案例3：
中国某军工科研所发生泄密事件
参与中国海军潜艇科研项目的某军工科研 所发生了重大泄密事件。多份重要保密资料和文 件，甚至一些关键材料的绝密技术资料，都落入 境外情报机关之手。安全、保密等部门迅速查清 了案情：原来又是境外间谍机构无孔不入的网络 窃密攻击。网络间谍工具寻隙钻入一台违规上网 的工作电脑，将其中存储的大量涉及军工项目的 文件资料搜出、下载、传回。泄密案的当事人姓 彭，是一名科研人员。去年中秋前，他用工作电 脑上网查阅自己的邮箱时，收到了一封“国防科 工委办公厅的中秋贺卡”，他没有多想，信手点 开，结果中了网络间谍木马。邮件完全是伪造的， 捆绑着某境外情报机构特制的间谍程序，一经点 击就控制了彭某的工作电脑，偏偏彭某的电脑中 还违规存储了大量军工科研项目的资料，结果， 连潜艇隐身材料这样的军工技术机密都被间谍程 序从网上窃走了。
二、木马的特性、原理
简而言之，特洛伊木马包括客户端和服务器端两个部分，也就是说，木马 其实是一个服务器-客户端程序 攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定 到某个合法软件上，诱使用户运行合法软件。只要用户运行该软件，特洛伊木 马的服务器就在用户毫无察觉的情况下完成了安装过程 攻击者要利用客户端远程监视、控制服务器，必需先建立木马连接；而建 立木马连接，必需先知道网络中哪一台计算机中了木马 获取到木马服务器的信息之后，即可建立木马服务器和客户端程序之间的 联系通道，攻击者就可以利用客户端程序向服务器程序发送命令，达到操控用 户计算机的目的。
二、木马的特性、原理
木马的攻击原理： 两个执行文件：客户端程序 服务器端程序 客户端程序是安装在攻击者（黑客）方的控制台，它负责远程遥控指挥， 服务器端程序即是木马程序，它被隐藏安装在被攻击（受害）方的电脑上。 木马攻击的第一步：把木马服务程序植入攻击对象 如果电脑没有联网，那么是不会受到木马的侵扰的，因为木马程序不会主动攻 击和传染到这样的电脑中。 木马攻击的第二步：把主机信息发送给攻击者 在一般情况下，木马被植入被攻击的主机后，会通过一定的方式把主机的信息， 如IP地址、软件的端口、主机的密码等，发送给攻击者。
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马 服务端
配置 控制 响应
配置程序
④信息反馈
信息
木马程序
控制程序 木马服务器 木马控制端(客户端)
⑤建立连接
⑥远程控制
三、木马的伪装、启动、传播方式
木马通过伪装达到降低用户警觉、欺骗用户的目的 如：修改图标、捆绑文件、出错提示、自我销毁、木马更名。。。
案例2：
上海“3・10”特大网络盗窃案 木马分11次"驮"走16万
蔡先生是上海一家美资软件公司的总经理， 在上海工作多年。2005年在建行办理了一张白金 理财卡。开始有网上银行业务的时候就在使用了， 后来又办理了数字证书，之后他就经常通过网上 银行购物、缴费、转账。 3月10日，蔡先生忽然 发现原本16余万元的账户资金只剩下36.62元， 拨打客服电话查询，卡内钱款已被转走。警方接 报后，迅速成立专案组，展开案件侦查工作。进 过一系列的侦查手段，最终抓获了犯罪嫌疑人。 经查，犯罪嫌疑人在网上利用发照片之际，将携 带木马程序的病毒植入被害人的电脑，获取被害 人的银行账号、密码和认证信息，随后盗取被害 人银行账户里的人民币。
四、木马与病毒的区别
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出 来说内? 电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破 坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒 索的作用,或为了炫耀自己的技术. “木马”不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据 等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏 帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.
四、木马与病毒的区别
木马运作的典型方式：
四、木马与病毒的区别
木马运作的典型方式：
五、检测和清除木马
发现一下异常，应当检查计算机是否感染了木马： ☢ 当浏览一个网站时，弹出来一些广告窗口是很正常的事情，可是如果用户根 本没有打开浏览器，而浏览器突然自己打开，并且进入某个网站，那么，就要 怀疑是否中了木马; ☢ 正在操作计算机，突然一个警告框或者是询问框弹出来，问一些用户从来没 有在计算机上接触过的问题; ☢ Windows系统配置经常被莫名其妙地自动更改; ☢ 总是无缘无故地读硬盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异 常现象; ☢ 计算机意外地打开了某个端口，用嗅探器发现存在异常的网络数据传输; ☢ 拨号上网用户离线操作计算机时，突然弹出拨号对话框; ……
二、木马的特性、原理
隐蔽性：一般的木马会以捆绑方式装到目标电脑上，而捆绑方式、捆绑位置、 捆绑程序等则可以由黑客自己确定，既可以捆绑到启动程序上，也可以捆绑到 一般常用程序上，位置的多变使得木马具有很强的隐蔽性。 潜伏性：木马程序一般不会在已经被感染的电脑上作什么破坏的操作，而是尽 量地将自己隐藏起来，不让用户觉察到木马的存在，从而得以偷偷地做一些用 户不希望的事情。 再生性：木马被发现后，表面上是被删除了，但后备的木马会在一定的条件下 重新生成被删除的文件。
所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目 的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑 的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大 危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但 是要单独的从病毒类型中间剥离出来.独立的称之为“木马”程序.
案例1：
全国最大制售木马盗号案 16省市110人涉案
2007年5月至2008年8月间，被告人为牟利 先后编写出国内流行的40余款网络游戏的木马程 序，用于窃取网络游戏玩家的帐号、密码。他们 将木马程序置入网站由网民点击，点击该网站时 便会立即中木马病毒，木马程序自动植入网民的 计算机系统并运行，在互联网上广泛传播。中了 这些木马程序的网民的网络游戏账号，游戏帐号 和密码就会被立即自动发送指定邮箱。涉案人员 以帐号登陆玩家的网络游戏，窃取游戏币、游戏 装备并在网上销售获利。木马病毒非法入各类网 站1200多个，至少造成800余万个游戏玩家的游 戏帐号密码、游戏装备被盗，其计算机信息系统 被非法侵害。该案共涉及16省市110人，涉案金 额3000余万元 。
五、检测和清除木马
Windows XP的 Netstat工具提供 了一个新的-o选 项，能够显示出 正在使用端口的 程序或服务的进 程标识符(PID)。 有了PID，用任 务管理器就可以 方便地根据PID 找到对应的程序， 以便终止之.
五、检测和清除木马பைடு நூலகம்
如果检查出有木马的存在，可以按以后步骤进行杀木马的工作。 1、运行任务管理器，杀掉木马进程; 2、检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地 址， 再将可疑的删除; 3、删除上述可疑键在硬盘中的执行文件; 4、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一 般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没 有可疑的.exe，.com或.bat文件，有则删除之; 5、检查注册表HKEY_LOCAL_MACHINE和 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项 (如Local Page)，如果被修改了，改回来就可以; 6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认 打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认 打开程序让病毒在用户打开文本文件时加载的.