淺析木馬侵襲及清除方法

姜小妹 方芳

摘要隨著計(jì)算機(jī)使用的不斷增加，計(jì)算機(jī)病毒也越來越受到人們的重視。本文對木馬病毒入侵進(jìn)行了分析，并提出了清除木馬的方法。

關(guān)鍵詞木馬入侵清除

隨著社會(huì)信息化技術(shù)的發(fā)展，網(wǎng)絡(luò)已成為人們生活中不可缺少的部分。人們在工作、學(xué)習(xí)和業(yè)余等時(shí)間運(yùn)用電腦，在感受網(wǎng)絡(luò)帶來益處的同時(shí)，各種各樣的病毒也讓使用者頭痛不已，木馬病毒就是其中一種。有的黑客會(huì)利用木馬來盜取計(jì)算機(jī)用戶的隱私去謀取利益，這給人們的生活帶來了巨大的損失和危害。木馬是黑客最常用的基于遠(yuǎn)程控制的工具，目前比較有名的主要有：“冰河”、“黑洞”、“黑冰”、“Bo2000”等。計(jì)算機(jī)一旦被木馬病毒侵入，可能會(huì)造成信息的丟失、系統(tǒng)的破壞甚至系統(tǒng)癱瘓，所以計(jì)算機(jī)的安全問題是目前急需解決的問題。

1 木馬病毒

所謂木馬（全稱是特洛伊木馬）是利用計(jì)算機(jī)程序漏洞侵入后竊取文件的程序，它是一種與遠(yuǎn)程計(jì)算機(jī)之間建立起連接，使遠(yuǎn)程計(jì)算機(jī)能夠通過網(wǎng)絡(luò)控制本地計(jì)算機(jī)的程序。它包含兩部分：服務(wù)器和控制器，黑客利用控制器進(jìn)入運(yùn)行了服務(wù)器（被入侵的電腦）的計(jì)算機(jī)。運(yùn)行了程序的服務(wù)器，其計(jì)算機(jī)就會(huì)有一個(gè)或幾個(gè)端口被打開，使黑客可以利用這些打開的端口進(jìn)入計(jì)算機(jī)系統(tǒng)。

2 木馬病毒的入侵

木馬入侵計(jì)算機(jī)，一般都要完成“向目標(biāo)主機(jī)傳播木馬”、“啟動(dòng)和隱藏木馬”、“建立連接”、“遠(yuǎn)程控制”等環(huán)節(jié)。它的入侵方式主要有：

（1）電子郵件傳播。攻擊者將木馬程序偽裝成郵件的附件發(fā)送出去，收件人只要打開附件系統(tǒng)就會(huì)感染木馬；（2）網(wǎng)絡(luò)下載傳播。一些非正規(guī)的網(wǎng)站利用木馬小的特點(diǎn)將木馬捆綁在軟件安裝程序上提供給用戶下載，只要用戶一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝；（3）遠(yuǎn)程入侵傳播。黑客通過破解密碼和建立IPC$遠(yuǎn)程連接后登錄到主機(jī)，將木馬服務(wù)端程序復(fù)制到計(jì)算機(jī)中的文件夾，然后通過遠(yuǎn)程操作來控制木馬進(jìn)而達(dá)到目的；（4）利用系統(tǒng)漏洞植入。有時(shí)候服務(wù)器會(huì)出現(xiàn)漏洞，黑客便利用這些漏洞將木馬植入計(jì)算機(jī)。譬如MIME漏洞，因?yàn)镸IME簡單有效，加上寬帶網(wǎng)的流行，令用戶防不勝防；（5）修改文件關(guān)聯(lián)。隱蔽是木馬常用的攻擊手段，它們通常采用修改文件打開關(guān)聯(lián)來達(dá)到加載的目的。著名的木馬冰河就是采用這種方式。

3 木馬的檢測

（1）進(jìn)程和端口檢測。木馬一般是以exe后綴形式的文件存在，因此當(dāng)木馬的服務(wù)器端運(yùn)行時(shí)，一定會(huì)出現(xiàn)在進(jìn)程中。查看端口的方法一般有三種：使用Windows本身自帶netstat的工具，命令是C:> netstat -an ；使用Windows命令行工具fport，命令是E:software>Fport.exe ；使用圖形化界面工具Active Potrs，這個(gè)工具可以監(jiān)視到計(jì)算機(jī)所有打開的TCP/IP/UDP端口，還可以顯示所有端口所對應(yīng)程序的所在的路徑。

（2）檢查Win.ini和System.ini系統(tǒng)配置文件。在win.ini文件中，[WINDOWS]下面如果“Run=”和“Load=”等號(hào)后面結(jié)果不是空的，很可能是計(jì)算機(jī)中了木馬病毒。在System.ini文件中，[BOOT]下面“shell= 文件名”，如果不是“shell=Explorer.exe”，也很可能是中了木馬病毒。

（3）查看啟動(dòng)程序。如果木馬自動(dòng)加載的文件是直接通過Windows菜單上自定義添加的，一般都會(huì)放在主菜單的“開始->程序->啟動(dòng)”處。檢查是否有可疑的啟動(dòng)程序，便很容易查到是否中了木馬。

（4）檢查注冊表。注冊表中木馬一旦被加載，一般都會(huì)被修改。一般情況修改HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN, HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN SERVICES,HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN。目錄下，查看有沒有不熟悉的擴(kuò)展名為EXE的自動(dòng)啟動(dòng)文件。

（5）使用檢測軟件。除了手工檢測木馬外，還可以通過各種殺毒軟件、防火墻軟件和各種木馬查殺工具等檢測木馬。

4 木馬病毒的清除

檢測到計(jì)算機(jī)中了木馬后，馬上將計(jì)算機(jī)與網(wǎng)路斷開，然后根據(jù)木馬的特征來進(jìn)行清除。清除方法有：

（1）停止可疑的系統(tǒng)進(jìn)程。木馬程序在運(yùn)行時(shí)會(huì)在系統(tǒng)進(jìn)程中留下痕跡，通過查看系統(tǒng)進(jìn)程可以發(fā)現(xiàn)運(yùn)行的木馬程序。清除木馬時(shí)，首先停止木馬程序的系統(tǒng)進(jìn)程，其次修改注冊表，最后清除木馬文件。

（2）用木馬的客戶端程序清除。查看系統(tǒng)啟動(dòng)程序和注冊表是否存在可疑的程序后，判斷是否中了木馬，如果存在木馬，則查出木馬文件并刪除外，同時(shí)將木馬自動(dòng)啟動(dòng)程序刪除。

（3）殺毒軟件和查殺工具。木馬程序大部分都是利用操作系統(tǒng)的漏洞將木馬加載到系統(tǒng)中，利用較好較新的殺毒軟件加上補(bǔ)丁程序，可自動(dòng)清除木馬程序。常用殺毒軟件包括Kill3000、瑞星、木馬終結(jié)者等。

（4）手工清除。在不知道木馬屬于何種程序的情況下應(yīng)用手工清除，打開系統(tǒng)配置實(shí)用程序?qū)in.ini、System.ini進(jìn)行編輯，在Win.ini中將“Run=文件名”或“Load=文件名”更改為“Run= ”或“Load= ”， 在System.ini中將“Shell=文件名”更改為“Shell=Explorer.exe”，屏蔽非法啟動(dòng)項(xiàng)，用Regedit打開注冊表的鍵值及注冊項(xiàng)的默認(rèn)值或正常值，刪除木馬。

5 QQ卓越木馬的查殺程序設(shè)計(jì)

掌握了木馬的入侵和檢測等相關(guān)知識(shí)后，我們做了一個(gè)針對QQ卓越木馬的殺毒程序。整個(gè)程序的查殺毒流程如圖1所示。

該程序查殺過程，首先掃描內(nèi)存，接著是系統(tǒng)目錄，然后注冊表，最后對硬盤進(jìn)行掃描。

內(nèi)存中掃描木馬進(jìn)程主要用到了自定義函數(shù)FindProcByName，進(jìn)程掃描開始及結(jié)束都會(huì)在狀態(tài)欄及查殺結(jié)果欄中顯示相應(yīng)信息。自定義函數(shù)FindProcByName應(yīng)用CreateToolhelp32Snapshot獲取進(jìn)程快照，若列表中有進(jìn)程存在，用Process32First獲取第一個(gè)進(jìn)程的信息，若進(jìn)程文件名與木馬進(jìn)程名字相同，則記錄木馬EXE程序同時(shí)記錄木馬DLL的程序并把他們添加到查殺列表，循環(huán)比較列表中的每個(gè)進(jìn)程。若停止的話就直接跳出殺毒程序。內(nèi)存掃描完之后，如果發(fā)現(xiàn)內(nèi)存中有卓越QQ木馬時(shí)，找到該木馬程序的執(zhí)行程序所在目錄，并檢測此目錄下有沒有木馬文件，若有則進(jìn)行查殺。

接著掃描注冊表。主要查看系統(tǒng)及用戶啟動(dòng)項(xiàng)的Run鍵值下是否有卓越QQ木馬鍵值，若有將其刪除，同時(shí)將木馬計(jì)數(shù)器TrojanCnt及注冊表木馬計(jì)數(shù)器RegTrojanCnt加一。然后查看是否有木馬文件，若有木馬文件，根據(jù)卓越QQ木馬鍵值找到其真實(shí)路徑，將其.exe及.dll程序添加到查殺列表，掃描并中止該木馬進(jìn)程后再刪除木馬文件。

最后掃描硬盤。要對硬盤進(jìn)行木馬查殺，找到文件，經(jīng)判斷如果為病毒文件，將木馬計(jì)數(shù)器及硬盤木馬計(jì)數(shù)器加一，然后將檢測結(jié)果在查殺結(jié)果中顯示出。用自定義函數(shù)Length，Copy、ScanDir、CompareFileNames可以實(shí)現(xiàn)。

6 結(jié)束語

木馬病毒不僅種類豐富，而且在運(yùn)行過程中會(huì)不斷進(jìn)化。了解病毒的基本特性，有助于用戶查殺病毒，因此安裝好殺毒軟件和相應(yīng)查殺木馬的工具，做好系統(tǒng)補(bǔ)丁升級(jí)，同時(shí)用戶應(yīng)提高警覺，預(yù)先采用防護(hù)措施并從技術(shù)和管理兩個(gè)方面入手，完善安全防護(hù)體系，這樣才能最大程度上減少病毒給廣大計(jì)算機(jī)用戶帶來的危害。