當今網絡時代木馬病毒及其防范措施

劉紅艷

文章編號：1672-5913(2009)10-0182-02

摘 要：當前，黑客利用加殼等技術手段使“工業化生產病毒”成為趨勢，只要從網上下載加殼工具，就可以自動生產出病毒。而具有越來越明顯盜竊特性的木馬類病毒將更易給受害者造成直接損失。本文闡述了我國木馬病毒的發展現狀及特點，探討了防范此類病毒的具體措施。

關鍵詞：木馬；病毒；安全防范

中圖分類號：G642

文獻標識碼：A

目前，病毒產業鏈越來越完善，從病毒程序開發、傳播病毒到銷售病毒，形成了分工明確的整條操作流程。黑客利用電腦病毒竊取的個人資料從QQ密碼、網游密碼到銀行賬號、信用卡帳號等等，包羅萬象，任何可以直接或間接轉換成金錢的東西，都成為黑客竊取的對象。通過分工明確的產業化操作，每天有數百甚至上千種病毒被制造出來，其中大部分是木馬和后門病毒，占到全球該類病毒的三分之一左右。

1認識木馬病毒

木馬病毒是指寄生于用戶計算機系統中，盜竊用戶信息，并通過網絡發送給木馬設計者的病毒程序。木馬通常有兩個可執行程序：一個是客戶端(Client)，即控制端，另一個是服務端(Server)，即被控制端。客戶端程序用于遠程控制計算機；而服務端程序，則隱藏到遠程計算機中，接收并執行客戶端程序發出的命令。所以當黑客通過網絡控制一臺遠程計算機時，第一步就需要將服務端程序植入到遠程計算機。為了能夠讓用戶執行木馬程序，黑客常常通過各種方式對它進行偽裝。木馬的服務一旦運行并被控制端連接，其控制端將享有服務端的大部分操作權限，例如給計算機增加口令，瀏覽、移動、復制、刪除文件，修改注冊表，更改計算機配置等。

2幾種常見的木馬病毒

(1) 反彈端口型木馬：木馬開發者分析了防火墻的特性后，發現防火墻對于連入的鏈接會進行非常嚴格的過濾，但是對于連出的鏈接卻疏于防范。于是，與一般的木馬相反，反彈端口型木馬的服務端(被控制端)使用主動端口，客戶端(控制端) 使用被動端口。

(2) 信息竊取型/密碼發送型：這種木馬可以找到目標機的隱藏密碼，并且在受害者不知道的情況下，把它們發送到指定的信箱。

(3) 鍵盤記錄木馬：這種木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。這種木馬隨著Windows 的啟動而啟動。

(4) 遠程控制型：這種木馬是現在使用最廣泛的木馬，它可以遠程訪問被攻擊者的硬盤。只要有人運行了服務端程序，客戶端通過掃描等手段知道了服務端的IP地址，就可以實現遠程控制。

(5)FTP木馬：這種木馬可能是最簡單和古老的木馬，它的唯一功能就是打開21端口，等待用戶連接。

(6) 程序殺手木馬：上面列舉的木馬功能雖然形形色色，要想在對方機器上發揮自己的作用，須繞過防木馬軟件。程序殺手木馬的功能就是關閉對方機器上運行的這類程序，讓其他木馬更好地發揮作用。

(7) 破壞型：唯一的功能就是破壞并且刪除文件。可以自動的刪除電腦上的DLL、INI、EXE文件。

(8) 代理木馬：用戶感染代理類木馬后，會在本機開啟HTTP、SOCKS等代理服務功能。黑客把受感染計算機作為跳板，以被感染用戶的身份進行黑客活動，達到隱藏自己的目的。

3木馬病毒的傳播途徑

(1) 通過E-mail：早期的木馬，大多是通過發送電子郵件的方式把入侵主機信息告訴攻擊者，有一些木馬程序干脆把主機所有的密碼用郵件的形式通知給攻擊者，這樣攻擊者就不用直接連接攻擊主機即可獲得一些重要數據，如攻擊OICQ密碼的GOP木馬。由控制端將木馬程序以附件的形式夾在郵件中發送出去，收信人只要打開附件就會感染木馬。

(2) 通過軟件下載：一些非正規的網站以提供軟件下載為名，將木馬捆綁在軟件安裝程序上，下載后，只要運行這些程序，木馬就會被自動安裝了。

(3) 通過Script、ActiveX及ASP、CGI交互腳本的方式植入：由于IE 瀏覽器在執行Script腳本上存在安全漏洞，因此，木馬就可以利用這些漏洞很容易植入被攻擊的電腦。

(4) 利用一些系統漏洞植入，如著名的IIS服務器溢出漏洞：通過一個IISHACK 攻擊程序使IIS服務器崩潰，同時在服務器上執行木馬程序，從而植入木馬。

(5) 通過移動存儲設備(U盤等)：主要是依賴微軟操作系統Windows的Autorun(自動運行)功能，使得計算機用戶在雙擊打開U盤的時候，自動執行木馬程序，進而感染計算機系統。

4木馬病毒的防范措施

木馬病毒越來越隱蔽，破壞性也越來越大，給人們的日常工作和生活甚至是國家安全都帶來了巨大的影響。木馬實質上是一個程序，必須運行后才能工作，所以肯定會在電腦中留下珠絲馬跡，我們可以從“防、查、堵、殺”四方面入手。

4.1防

必須在思想上引起高度的重視，增強安全意識，防患于未然。

(1) 增強防范意識

安裝專業的防毒軟件及時升級到最新版本，并打開實時監控程序；安裝帶有“木馬墻”功能的個人防火墻軟件，防止密碼丟失。打開防病毒軟件的“系統監控”功能，從注冊表、系統進程、內存、網絡等多方面對各種操作進行主動防御，達到全方位保護計算機系統安全的目的。養成良好的上網習慣，盡量從大規模門戶網站或官方網站瀏覽信息，不隨意登陸不明網站及不規范網站。不要隨便打開來歷不明的郵件附件或點擊陌生郵件的網頁鏈接。在瀏覽互聯網時，若以微軟IE為核心的瀏覽器上網，則要隨時關注微軟官方網站，及時升級補丁程序。

(2) 網站管理需更加嚴格

針對目前大量網站攜帶木馬病毒，甚至公開販賣病毒的現象，應加大網站管理力度，力爭從源頭阻擊木馬病毒，使之沒有擴散的機會，是防范網頁木馬的根本。

4.2查

(1) 檢查系統進程

大部分木馬運行后會顯示在進程管理器中，所以對系統進程列表進行分析和過濾，可以發現可疑程序。特別是利用與正常進程的CPU資源占用率和句柄數的比較，發現異常現象。

(2) 檢查ini文件

木馬可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加載，如果這些選項后面加載程序是你不認識的，就有可能是木馬。

(3) 檢查注冊表

木馬為了能夠在開機后自動運行，往往在注冊表中添加注冊表項。一般來說，木馬在注表中實現加載文件一般是在以下等處：HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值；HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion下所有以“run”開頭的鍵值；HKEY_USERS. DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值。此外在注冊表中的HKEY_CLASSES_ ROOTexefileshellopencommand=””%1”%*”處，如果其中的“%1”被修改為木馬，那么每次啟動一個該可執行文件時木馬就會啟動一次，例如著名的冰河木馬就是將TXT文件的Notepad.exe改成了它自己的啟動文件，每次打開記事本時就會自動啟動冰河木馬，做得非常隱蔽。

(4) 檢查啟動組

啟動組也是木馬藏身的好地方。啟動組對應的文件夾為：C:windowsstartmenuprogramsstartup，在注冊表中的位置：HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorerShellFolders Startup=“C:windows startmenuprogramsstartup”。檢查是否有可疑的啟動程序，便很容易查到是否中了木馬。

(5) 檢查端口

遠程控制型木馬以及輸出shell型木馬，大都會在系統中監聽某個端口，接收從控制端發來的命令，并執行。通過檢查系統上開啟的一些“奇怪”的端口，從而發現木馬的蹤跡。在命令行中輸入netstat -na，可以清楚地看到系統打開的端口和連接。

4.3堵

(1) 堵住控制通路

通過禁用網絡連接或拔掉網絡，可以完全避免遠端計算機通過網絡對你的控制。當然，亦可以通過設置防火墻應用規則或過濾UDP、TCP、ICMP端口。

(2) 堵安全漏洞

Windows操作系統，特別是IE瀏覽器的安全漏洞頻出，無疑給木馬傳播打開方便之門。及時安裝Windows安全更新，多安裝一個微軟的安全更新程序，就能有效免疫相當一部分網頁木馬。將常用的第三方軟件(例如RealPlayer，暴風影音、迅雷、聯眾世界等)及時升級到最新版本，也可以在一定程度上降低威脅。因此，我們要養成打補丁的習慣，對切斷木馬病毒的傳播途徑將具有極好的效果。

4.4殺

(1) 使用木馬查殺軟件

用戶系統要安裝木馬查殺軟件，實際上一般的普通殺毒軟件里都包含了對木馬的查殺功能。對于查殺軟件，一定要經常升級，不斷更新木馬代碼庫里的數據，并通過病毒公告及時了解新木馬的預防和查殺絕技。

(2) 手工刪除

對于一些可疑文件，不能立即刪除，因為有可能由于誤刪系統文件而使計算機不能正常工作。首先備份可疑文件和注冊表，接著用Ultraedit32編輯器查看文件首部信息，通過可疑文件里面的明文字符對木馬有一個大致了解。最后，刪除木馬文件及注冊表中的鍵值。

5結束語

總之，我們要從習慣、意識、工具、機制等四個層面上確保網絡安全，防止出現信息“泄密”。

參考文獻：

[1] 張友生,米安然.計算機病毒與木馬程序剖析[M]. 北京:北京科海電子出版社,2003.

[2] 馬宜興.網絡安全與病毒防范[M].上海:上海交通大學出版社,2005.

Talking about the Trojan-Horse and the Defensive Measures in the Internet Age

LIU Hong-yan

(Doumen Radio &TV University，Zhuhai 519100, China )

Abstract: Presently, it become the tendency that hackers produce viruses in industrialization by the technical methods of the addition shell, and viruses may be producted automatically as long as the shell tool will be downloaded from the net. Trojan-horse virus that has more and more obvious burglary characteristic changes to create loses directly to the victim. This article elaborated the present situation and characteristics on our country Trojan-horse virus development, and discussed the specific safety defensive measures against the kind of viruses.

Key words: Trojan-horse; virus; safety defensive measures