遠離機密殺手

摘 要 每一個上網的用戶都會和計算機病毒打交道，其中木馬病毒也是最常見的病毒之一，今天讓我們揭去它神秘的面紗，看看他到底是什么真面目。木馬病毒全稱為特洛伊木馬病毒，名字來自于古老的古希臘傳說，在《荷馬史詩》中的木馬計中以特洛伊指代了特洛伊木馬，木馬的英文全稱Trojan，也是取自于木馬計的故事。

關鍵詞 木馬 計算機病毒 木馬病毒防治 木馬原理

中圖分類號：TP309.5 文獻標識碼：A

0 前言

每一個上網的用戶都會和計算機病毒打交道，其中木馬病毒也是最常見的病毒之一，今天讓我們揭去它神秘的面紗，看看他到底是什么真面目。

木馬病毒全稱為特洛伊木馬病毒，名字來自于古老的古希臘傳說，在《荷馬史詩》中的木馬計中以特洛伊指代了特洛伊木馬，木馬的英文全稱Trojan，也是取自于木馬計的故事。

之所以將此種病毒命名為木馬，是因為它的特點和木馬計中的特洛伊木馬極其相似，在木馬計中，特洛伊木馬是為了隱藏破壞，里應外合的，而這種計算機程序也起到了相同的作用，他不會自我繁殖，僅僅在計算機中以獨立的個體存在，不會主動去感染其他文件，所以從表面上看來，它是一個十分安靜的病毒。它會以各種方式吸引受害者去下載執行，進而控制受害者的電腦，向木馬病毒施種者提供打開被種者電腦的門戶，讓施種者可以對被種者的電腦內的任何文件進行破壞，竊取等惡意操作。如果條件允許的情況下，木馬病毒的施種者可以直接對被施種者電腦進行控制操作。

1 木馬的原理及發展

1.1 木馬病毒的原理

這種卑鄙的程序原理其實十分簡單，對于一個完整的木馬程序成品，會具有兩個部分，即服務端（服務器部分）和客戶端（控制器部分）。木馬病毒的使用者會使用一切手段將服務端（服務器部分）植入被害者電腦，而其自身操作客戶端來控制服務端。當被害者運行了服務端后，木馬自身會偽裝產生一個用于迷惑被害者的名稱進程，進而打開向指定地點發送數據的端口。當然，如果條件允許的話，木馬施種者也可以通過這些開放的端口來進入被害者的電腦，對被害者電腦系統進行破壞。

但是這種程序不能自動運行，這也是其一大特點，一般的木馬施種者會把它偽裝成一種對被害者有用的東西或者一份十分有趣的計劃，木馬則暗含在一些用戶下載的文檔中，當被害者選擇運行這些文檔程序的時候，連帶著激活了木馬程序，只有這樣才能使木馬病毒開始運行，對被害者的文件和重要資料進行竊取和破壞。雖然它具有對文件的竊取功能，但從定義上來講，木馬和后門程序之間還是有本質的區別的，后門是指隱藏在程序內部，為后門操作者日后隨時進入被害者計算機系統而留下的設置程序。

1.2 木馬病毒的發展

木馬程序技術發展可以說非常迅速。主要是有些年輕人出于好奇，或是急于顯示自己實力，不斷改進木馬程序的編寫。至今木馬程序已經經歷了六代的改進：

第一代，是最原始的木馬程序。主要是簡單的密碼竊取，通過電子郵件發送信息等，具備了木馬最基本的功能，開始了木馬程序的開端。

第二代，在技術上有了很大的進步，冰河是中國木馬的典型代表之一。冰河木馬開發于1999年，在設計之初，開發者的本意是編寫一個功能強大的遠程控制軟件。但一經推出，就依靠其強大的功能成為了黑客們發動入侵的工具，并結束了國外木馬一統天下的局面，成為國產木馬的標志和代名詞。

第三代，主要改進在數據傳遞技術方面，利用畸形報文傳遞數據，增加了殺毒軟件查殺識別的難度，出現了ICMP等類型的木馬，代表性的木馬是ICMP監控型木馬。“ICMP木馬”監控，木馬程序英文名字Win32.Troj.IcmpCmd，該木馬可以向指定的已經被植入該木馬的IP地址發送命令，可以直接對感染的計算機進行口令修改，獲得最高管理權，實現重啟計算機打開遠程SHELL、注入遠程SHELL等，會給用戶的機器帶來不可預知的破壞。

第四代， 在進程隱藏方面有了很大改動，采用了內核插入式的嵌入方式，利用遠程插入線程技術，嵌入DLL線程。或者掛接PSAPI，實現木馬程序的隱藏，甚至在Windows NT/2000下，都達到了良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬。

第五代，驅動級木馬。驅動級木馬多數都使用了大量的Rootkit技術來達到在深度隱藏的效果，并深入到內核空間的，感染后針對殺毒軟件和網絡防火墻進行攻擊，可將系統SSDT初始化，導致殺毒防火墻失去效應。有的驅動級木馬可駐留BIOS，并且很難查殺。

第六代，隨著身份認證UsbKey和殺毒軟件主動防御的興起，黏蟲技術類型和特殊反顯技術類型木馬逐漸開始系統化。前者主要以盜取和篡改用戶敏感信息為主，后者以動態口令和硬證書攻擊為主。

1.3 木馬病毒的未來可能發展趨勢

1.3.1 關于winPE的發展方面的發展

R0級內核攻防的技術不斷進化，現在發展了內核驅動（各種HOOK）木馬，MBR病毒以及BIOS病毒。只要被病毒或木馬成功運行一次，整個系統的核心防線就會被直接打穿，瞬間就會導致崩潰。現在，感染了惡性病毒或木馬后，基本上都會選擇進入WinPE環境下進行查殺和修復。那問題來了：

會不會木馬或病毒不僅在正常的Windows環境下可以運行，在WinPE環境一樣可以運行，然后進行各種破壞？

預計發展進程：內核驅動木馬→MBR病毒→BIOS病毒→PE病毒

1.3.2 關于不被廣大用戶注意的硬件木馬

目前的廣大計算機木馬病毒制造者都會把硬件方面的主要目標定位在CPU等重要硬件，但是2013年NVIDIA顯卡驅動爆出漏洞，引起人們注意。未來，除CPU以外的如顯卡，聲卡，網卡等以前不太惹人注意的硬件設備會被木馬病毒利用，所以不被廣大用戶注意的硬件會成為木馬的目標。

2 偽裝手段

首先最常見的還是修改圖標和捆綁文件，起一種方式的偽裝效果不是很好，一般情況下，木馬病毒程序制造者會使用一些手段把木馬的服務端的圖標改成TXT，ZIP，HTML等看似沒有什么傷害的各種文件圖標，但是此種方法如果在顯示擴展名的系統文件顯示條件下，偽裝就會暴露自己，因為文件后面和圖標不符的擴展名就會暴漏自己。而后一種方法捆綁文件，一般會將木馬程序綁在一種可執行性文件上，也可以防止看出擴展名帶來的問題，當這種程序和被捆綁的程序一起運行時，就可以開始工作了

當然，木馬設計者還會找出更好的方法，因為木馬程序在運行的時候會出現點擊文件后無響應，這樣很容易暴漏自己，所以設計者會設計出一個文件出錯的方法，當運行這個文件后就會有顯示一個錯誤提示框，當被害者認為是真的時候，設計者的目的就達到了。也有的設計者會選擇對木馬進行更名，將木馬安裝成功后就對木馬的文件名進行自由定制的權限放開，使用戶難辨真偽。

更高端的偽裝還有自我銷毀和定制端口兩者方法，自我銷毀則是為了解決很多老木馬病毒的缺點，即在木馬運行后將自身銷毀，使用戶無法找到源文件。而定制端口方式是為了解決老木馬病毒端口固定的問題，控制端的木馬施種者可以在1024-65535之間隨意定制，作為木馬病毒的端口，但一般不選擇1024以下的端口，因為不方便于隱藏。

3 木馬病毒的分類與隱藏手段

3.1 木馬病毒的分類

常見的為網游木馬和即時通訊木馬，面對當下網游的普及和對QQ等即時通訊工具軟件的使用，木馬設計者對網游下手，以盜取網游賬號密碼為目的，常見的為鍵盤記錄，HOOK游戲進程API函數等手段。因為目前網游在中國處于上升的發展階段，加上不法人員對木馬病毒生成器和一些不法網站對木馬病毒的公開銷售，使該種病毒的種類和數量一直處于頂峰。而即時通訊類木馬則目的多種，常見的有發送消息型，盜號型和傳播自身型，主要用于發送有毒鏈接，偷竊聊天記錄，倒賣賬號，傳播自身病毒等目的，也是目前種類和數量排名前列的木馬種類。

還有一部分木馬病毒和個人習慣有關，比如專門研制為了盜取網銀的網銀木馬病毒，喜歡在網頁中點擊窗口的人則容易成為網頁點擊型木馬的攻擊目標，但此類木馬一般是為了賺取較高的推廣流量，所以設計簡單。還有些偽裝性較強，如下載類木馬將自身安裝成功后向被害者電腦中下載各種其他病毒程序或廣告插件。代理類木馬則在本機開啟HTTP，SOCKS等代理服務功能，實現了跳板效果。面對FTP型木馬，則控制21號端口，是每個人可以用一個FTP客戶端程序不用密碼就可以連接到受控計算機，并上傳，下載，竊取其機密文件，在近些年的FTP木馬中部分加入了密碼功能，只有攻擊者自身才能進入受害者計算機。

3.2 木馬病毒的隱藏手段

對于木馬，偽裝不但要有表面功夫，還要找到合適的地點，所以計算機中很多陰暗角落就成了良好的隱藏的地點，現在就讓我們一起發現他們，把他們拉到光天化日之下吧。

木馬設計者采用很多種方法隱藏自己的程序，常見方法并不多。第一項，把自己的木馬程序放入集成程序中，這也是目前廣泛使用的方法，將自身和一款應用程序捆綁，如和操作系統綁住，那么只要運行了WINDOWS就可以自動運行了。第二項，木馬可以藏身在Win.ini中，在win.ini中Windows字段后面如有啟動命令“Load=”和“Run=”，一般“=”后面為空白的，若有其他文件，則有可能為木馬程序。第三項，藏身于注冊表，這種方法主要是利用注冊表的復雜性，這著實讓人痛苦。也有的木馬會偽裝到普通文件中，將自身后綴修改成“XXX.EXE”，也可以迷惑一些對計算機并不了解的人。類似的，木馬也可以在Autoexec.bat和Config.sys中加載，利用配置文件運行自己。當然，有的木馬設計者會在自己的網站上安置惡意代碼，引誘受害者點擊。

4 查殺木馬

從專殺的角度來說，因為就木馬自身很多本質性特點來講，它不完全具備一個標準病毒的完整屬性含義，所以從某種角度上來講，木馬不屬于病毒，所以將其從廣大病毒大軍中剝離出來。現在大多軟件制造者單獨制作木馬專殺，這樣可以有效提高查殺效率，畢竟節約時間就是保護機密文件和信息不被泄漏的最好方式，越早處理，損失就越少。像瑞星，江民等大型殺毒案件公司單獨制作的木馬專殺工具已經基本普及，而類似于“木馬殺客”等專業查殺木馬的軟件也毫不遜色。

從自身手動查殺角度講，可以利用計算機上的命令提示符錄入一些指令，也可以完成自己查殺的效果。首先在命令提示符中錄入netstat-an命令，觀察計算機上的鏈接。其次，利用net start找到不明服務項，利用net stor serve來禁用。

5 木馬病毒的正常防范

5.1 木馬病毒防范基本原理

經常使用木馬專殺對系統內文件進行全盤檢查，并且安裝防火墻，過濾掉網上的一些危險文件包和不明惡意代碼。另外不隨意訪問來歷不明的網站，不用來歷不明的軟件，及時對系統的漏洞進行修復更新等，雖然我們手中握著殺死木馬的利器，但是防范于未然，提高自身防范意識，才能讓木馬設計制造者無機可乘。

5.2 木馬病毒防范細節

在面對木馬病毒的防范，有一些小細節當然也需要注意：

（1）禁用OE自動收發郵件功能。

（2）安裝殺毒軟件，并及時更新。

（3）禁用文件系統對象FILESYSTEM OBJECT.

（4）對于文件的擴展名不進行隱藏，及時對新建文件的擴展名的進行檢索，出現異常的文件要及時進行檢索查殺。

木馬是一種讓人痛恨的病毒，它竊取機密文件，破壞系統文件，可謂無惡不做，但是當我們全面了解它以后，我相信我們必會徹底戰勝它，讓我們擁有一片更安全，更干凈的網絡家園。