複製鏈接
請複製以下鏈接發送給好友

木馬病毒

鎖定
木馬病毒是計算機黑客用於遠程控制計算機的程序,將控制程序寄生於被控制的計算機系統中,裏應外合,對被感染木馬病毒的計算機實施操作。一般的木馬病毒程序主要是尋找計算機後門,伺機竊取被控計算機中的密碼和重要文件等。可以對被控計算機實施監控、資料修改等非法操作。木馬病毒具有很強的隱蔽性,可以根據黑客意圖突然發起攻擊。 [1] 
中文名
木馬病毒
外文名
Trojan
類    型
計算機惡意代碼
目    的
毀壞、竊取被種者的文件
特    點
隱蔽性、欺騙性等
危    害
獲取或破壞相關信息

木馬病毒含義

計算機木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼,是具備破壞和刪除文件、發送密碼、記錄鍵盤和攻擊Dos等特殊功能的後門程序 [2] 
木馬程序表面上是無害的,甚至對沒有警戒的用户還頗有吸引力,它們經常隱藏在遊戲或圖形軟件中,但它們卻隱藏着惡意。這些表面上看似友善的程序運行後,就會進行一些非法的行動,如刪除文件或對硬盤格式化。 [2] 
完整的木馬程序一般由兩部分組成:一個是服務器端.一個是控制器端。“中了木馬”就是指安裝了木馬的服務器端程序,若你的電腦被安裝了服務器端程序,則擁有相應客户端的人就可以通過網絡控制你的電腦。為所欲為。這時你電腦上的各種文件、程序,以及在你電腦上使用的賬號、密碼無安全可言了。 [2] 

木馬病毒發展歷程

木馬程序技術發展可以説非常迅速。主要是有些年輕人出於好奇,或是急於顯示自己實力,不斷改進木馬程序的編寫。至今木馬程序已經經歷了六代的改進: [3] 
第一代,是最原始的木馬程序。主要是簡單的密碼竊取,通過電子郵件發送信息等,具備了木馬最基本的功能。 [3] 
第二代,在技術上有了很大的進步,冰河是中國木馬的典型代表之一。 [3] 
第三代,主要改進在數據傳遞技術方面,出現了ICMP等類型的木馬,利用畸形報文傳遞數據,增加了殺毒軟件查殺識別的難度。 [3] 
第四代, 在進程隱藏方面有了很大改動,採用了內核插入式的嵌入方式,利用遠程插入線程技術,嵌入DLL線程。或者掛接PSAPI,實現木馬程序的隱藏,甚至在Windows NT/2000下,都達到了良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬 [3] 
第五代,驅動級木馬驅動級木馬多數都使用了大量的Rootkit技術來達到在深度隱藏的效果,並深入到內核空間的,感染後針對殺毒軟件和網絡防火牆進行攻擊,可將系統SSDT初始化,導致殺毒防火牆失去效應。有的驅動級木馬可駐留BIOS,並且很難查殺。 [3] 
第六代,隨着身份認證UsbKey和殺毒軟件主動防禦的興起,黏蟲技術類型和特殊反顯技術類型木馬逐漸開始系統化。前者主要以盜取和篡改用户敏感信息為主,後者以動態口令和硬證書攻擊為主。PassCopy和暗黑蜘蛛俠是這類木馬的代表。 [3] 

木馬病毒原理

木馬病毒 木馬病毒
木馬病毒通常是基於計算機網絡的,是基於客户端和服務端的通信、監控程序。客户端的程序用於黑客遠程控制,可以發出控制命令,接收服務端傳來的信息。服務端程序運行在被控計算機上,一般隱藏在被控計算機中,可以接收客户端發來的命令並執行,將客户端需要的信息發回,也就是常説的木馬程序。 [1] 
木馬病毒可以發作的必要條件是客户端和服務端必須建立起網絡通信,這種通信是基於IP地址端口號的。藏匿在服務端的木馬程序一旦被觸發執行,就會不斷將通信的IP地址和端口號發給客户端。客户端利用服務端木馬程序通信的IP地址和端口號,在客户端和服務端建立起一個通信鏈路。客户端的黑客便可以利用這條通信鏈路來控制服務端的計算機。 [1] 
運行在服務端的木馬程序首先隱匿自己的行蹤,偽裝成合法的通信程序,然後採用修改系統註冊表的方法設置觸發條件,保證自己可以被執行,並且可以不斷監視註冊表中的相關內容。發現自己的註冊表被刪除或被修改,可以自動修復。 [1] 

木馬病毒種類

一、網遊木馬
隨着網絡在線遊戲的普及和升温,中國擁有規模龐大的網遊玩家。網絡遊戲中的金錢、裝備等虛擬財富與現實財富之間的界限越來越模糊。與此同時,以盜取網遊賬號密碼為目的的木馬病毒也隨之發展氾濫起來。 [3] 
網絡遊戲木馬通常採用記錄用户鍵盤輸入、Hook遊戲進程API函數等方法獲取用户的密碼和賬號。竊取到的信息一般通過發送電子郵件或向遠程腳本程序提交的方式發送給木馬作者。網絡遊戲木馬的種類和數量,在國產木馬病毒中都首屈一指。流行的網絡遊戲無一不受網遊木馬的威脅。一款新遊戲正式發佈後,往往在一到兩個星期內,就會有相應的木馬程序被製作出來。大量的木馬生成器和黑客網站的公開銷售也是網遊木馬氾濫的原因之一。 [3] 
二、網銀木馬
網銀木馬是針對網上交易系統編寫的木馬病毒,其目的是盜取用户的卡號、密碼,甚至安全證書。此類木馬種類數量雖然比不上網遊木馬,但它的危害更加直接,受害用户的損失更加慘重。 [3] 
網銀木馬通常針對性較強,木馬作者可能首先對某銀行的網上交易系統進行仔細分析,然後針對安全薄弱環節編寫病毒程序。2013年,安全軟件電腦管家截獲網銀木馬最新變種“弼馬温”,弼馬温病毒能夠毫無痕跡的修改支付界面,使用户根本無法察覺。通過不良網站提供假QVOD下載地址進行廣泛傳播,當用户下載這一掛馬播放器文件安裝後就會中木馬,該病毒運行後即開始監視用户網絡交易,屏蔽餘額支付快捷支付,強制用户使用網銀,並藉機篡改訂單,盜取財產。 [3] 
隨着中國網上交易的普及,受到外來網銀木馬威脅的用户也在不斷增加。 [3] 
三、下載類
這種木馬程序的體積一般很小,其功能是從網絡上下載其他病毒程序或安裝廣告軟件。由於體積很小,下載類木馬更容易傳播,傳播速度也更快。通常功能強大、體積也很大的後門類病毒,如“灰鴿子”、“黑洞”等,傳播時都單獨編寫一個小巧的下載型木馬,用户中毒後會把後門主程序下載到本機運行。 [3] 
四、代理類
用户感染代理類木馬後,會在本機開啓HTTP、SOCKS代理服務功能。黑客把受感染計算機作為跳板,以被感染用户的身份進行黑客活動,達到隱藏自己的目的。 [3] 
五、FTP木馬
FTP型木馬打開被控制計算機的21號端口(FTP所使用的默認端口),使每一個人都可以用一個FTP客户端程序來不用密碼連接到受控制端計算機,並且可以進行最高權限的上傳和下載,竊取受害者機密文件。新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進入對方計算機。 [3] 
六、通訊軟件類
常見的即時通訊類木馬一般有3種:
(1)發送消息型
通過即時通訊軟件自動發送含有惡意網址的消息,目的在於讓收到消息的用户點擊網址中毒,用户中毒後又會向更多好友發送病毒消息。此類病毒常用技術是搜索聊天窗口,進而控制該窗口自動發送文本內容。發送消息型木馬常常充當網遊木馬的廣告,如“武漢男生2005”木馬,可以通過MSN、QQUC等多種聊天軟件發送帶毒網址,其主要功能是盜取傳奇遊戲的賬號和密碼 [3] 
(2)盜號型
主要目標在於即時通訊軟件的登錄賬號和密碼。工作原理和網遊木馬類似。病毒作者盜得他人賬號後,可能偷窺聊天記錄等隱私內容,在各種通訊軟件內向好友發送不良信息廣告推銷等語句,或將賬號賣掉賺取利潤。 [3] 
(3)傳播自身型
2005年初,“MSN性感雞”等通過MSN傳播的蠕蟲氾濫了一陣之後,MSN推出新版本,禁止用户傳送可執行文件。2005年上半年,“QQ龜”和“QQ愛蟲”這兩個國產病毒通過QQ聊天軟件發送自身進行傳播,感染用户數量極大,在江民公司統計的2005年上半年十大病毒排行榜上分列第一和第四名。從技術角度分析,發送文件類的QQ蠕蟲是以前發送消息類QQ木馬的進化,採用的基本技術都是搜尋到聊天窗口後,對聊天窗口進行控制,來達到發送文件或消息的目的。只不過發送文件的操作比發送消息複雜很多。 [3] 
七、網頁點擊類
網頁點擊類木馬會惡意模擬用户點擊廣告等動作,在短時間內可以產生數以萬計的點擊量。病毒作者的編寫目的一般是為了賺取高額的廣告推廣費用。此類病毒的技術簡單,一般只是向服務器發送HTTP GET請求。 [3] 

木馬病毒特徵

(1)隱蔽性。
木馬病毒可以長期存在的主要因素是它可以隱匿自己,將自己偽裝成合法應用程序,使得用户難以識別,這是木馬病毒的首要也是重要的特徵。與其它病毒一樣,這種隱蔽的期限往往是比較長的。經常採用的方法是寄生在合法程序之中、修改為合法程序名或圖標、不產生任何圖標、不在進程中顯示出來或偽裝成系統進程和與其它合法文件關聯起來等。 [1] 
(2)欺騙性。
木馬病毒隱蔽的主要手段是欺騙.經常使用偽裝的手段將自己合法化。例如,使用合法的文件類型後綴名“dll、sys,ini’'等;使用已有的合法系統文件名,然後保存在其它文件目錄中;使用容易混淆的字符進行命名,例如字母“o”與數字“0”,數字“1”與字母“i”。 [1] 
(3)頑固性。
木馬病毒為了保障自己可以不斷蔓延,往往像毒瘤一樣駐留在被感染的計算機中,有多份備份文件存在,一旦主文件被刪除,便可以馬上恢復。尤其是採用文件的關聯技術,只要被關聯的程序被執行,木馬病毒便被執行,並生產新的木馬程序,甚至變種。頑固的木馬病毒給木馬清除帶來巨大的困難。 [1] 
(4)危害性
木馬病毒的危害性是毋庸置疑的。只要計算機被木馬病毒感染,別有用心的黑客便可以任意操作計算機,就像在本地使用計算機一樣,對被控計算機的破壞可想而知。黑客可以恣意妄為,可以盜取系統的重要資源,例如:系統密碼、股票交易信息.機要數據等。 [1] 

木馬病毒傳播方式

木馬病毒的傳播方式比較多,主要有:
(1)利用下載進行傳播,在下載的過程中進入程序,當下載完畢打開文件就將病毒植入到電腦中; [4] 
(2)利用系統漏洞進行傳播,當計算機存在漏洞,就成為木馬病毒攻擊的對象; [4] 
(3)利用郵件進行傳播,很多陌生郵件裏面就摻雜了病毒種子,一旦郵件被打開,病毒就被激活; [4] 
(4)利用遠程連接進行傳播; [4] 
(5)利用網頁進行傳播,在瀏覽網頁時會經常出現很多跳出來的頁面,這種頁面就是病毒駐紮的地方; [4] 
(6)利用蠕蟲病毒進行傳播等。 [4] 

木馬病毒偽裝方式

鑑於木馬病毒的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑制作用,這是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用户警覺,欺騙用户的目的。 [3] 
1、修改圖標
當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告訴你,這也有可能是個木馬程序,已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT,ZIP等各種文件的圖標,這有相當大的迷惑性,但是提供這種功能的木馬還不多見,並且這種偽裝也不是無懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。 [3] 
2、捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用户毫無察覺的情況下,偷偷的進入了系統。至於被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。 [3] 
3、出錯顯示
木馬入侵 木馬入侵
有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序,木馬的設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用户打開木馬程序時,會彈出一個錯誤提示框(這當然是假的),錯誤內容可自由定義,大多會定製成一些諸如“文件已破壞,無法打開”之類的信息,當服務端用户信以為真時,木馬卻悄悄侵入了系統。 [3] 
4、定製端口
很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的端口就知道感染了什麼木馬,所以很多新式的木馬都加入了定製端口的功能,控制端用户可以在1024-65535之間任選一個端口作為木馬端口(一般不選1024以下的端口),這樣就給判斷所感染木馬類型帶來了麻煩。 [3] 
5、自我銷燬
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用户打開含有木馬的文件後,木馬會將自己拷貝到WINDOWS的系統文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),一般來説原木馬文件和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麼中了木馬的朋友只要在收到的信件和下載的軟件中找到原木馬文件,然後根據原木馬的大小去系統文件夾找相同大小的文件,判斷一下哪個是木馬就行了。而木馬的自我銷燬功能是指安裝完木馬後,原木馬文件將自動銷燬,這樣服務端用户就很難找到木馬的來源,在沒有查殺木馬的工具幫助下,就很難刪除木馬了。 [3] 
6、木馬更名
安裝到系統文件夾中的木馬的文件名一般是固定的,那麼只要根據一些查殺木馬的文章,按圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼木馬。所以有很多木馬都允許控制端用户自由定製安裝後的木馬文件名,這樣很難判斷所感染的木馬類型了。 [3] 

木馬病毒危害

木馬病毒對計算機的直接破壞方式是改寫磁盤,對計算機數據庫進行破壞,給用户帶來不便。當木馬破壞程序後,使得程序無法運行,給計算機的整體運行帶來嚴重的影響。另外一些木馬可以通過磁盤的引導區進行,病毒具有強烈的複製功能,把用户程序傳遞給外部鏈接者。還可以更改磁盤引導區,造成數據形成通道破壞。病毒也通過大量複製搶佔系統資源,對系統運行環境進行干擾,影響計算機系統運行速度 [5] 
隨着互聯網事業的發展,木馬看中了電子商務,在一些網絡購物上掛一些木馬程序,當用户點擊時,很容易進入用户系統,當用户使用網絡銀行時。通過網上竊取銀行的密碼,之後盜取用户財務,給計算機用户造成巨大的經濟損失。在一些特殊的領域,木馬被用做攻擊的手段,如政治、軍事、金融、交通等眾多領域,成為一個沒有硝煙的戰場,利用木馬侵入對方,獲取相關信息或者進行破壞。 [5] 

木馬病毒木馬防範

1、檢測和尋找木馬隱藏的位置
木馬侵入系統後,需要找一個安全的地方選擇適當時機進行攻擊,瞭解和掌握木馬藏匿位置,才能最終清除木馬。木馬經常會集成到程序中、藏匿在系統中、偽裝成普通文件或者添加到計算機操作系統中的註冊表中,還有嵌入在啓動文件中,一旦計算機啓動,這些木馬程序也將運行。 [5] 
2、防範端口
檢查計算機用到什麼樣的端口,正常運用的是哪些端口,而哪些端口不是正常開啓的;瞭解計算機端口狀態,哪些端口目前是連接的,特別注意這種開放是否是正常;查看當前的數據交換情況,重點注意哪些數據交換比較頻繁的,是否屬於正常數據交換。關閉一些不必要的端口。 [5] 
3、刪除可疑程序
對於非系統的程序,如果不是必要的,完全可以刪除,如果不能確定,可以利用一些查殺工具進行檢測。 [5] 
4、安裝防火牆
防火牆在計算機系統中起着不可替代的作用,它保障計算機的數據流通,保護着計算機的安全通道,對數據進行管控可以根據用户需要自定義,防止不必要的數據流通。安裝防火牆有助於對計算機病毒木馬程序的防範與攔截。 [5] 
5、相關部門加強整治木馬產業鏈,完善相應的法律法規
現階段,我國存在着一些專業的服務集團,這些集團的存在可以組成一條比較完善的木馬產業鏈。相對於社會安全法律,針對計算機安全的企管科,也應該受到有關部門和主體的重視與管理,需要建立對應的健全的法律措施。在2017年,我國計算機受到惡意感染的數量減少了百分之二十六,移動互聯網惡意程序的數量也逐漸呈現出一種下降的趨勢。正是由於《網絡安全法》的實施,在一定程度上抑制了惡意程序的擾民問題,該法律法規的頒佈,從網絡的角度來看,強化了一些基礎性網絡設施的建設。因此,互聯網環境下,必須依靠全產業鏈的合作,強化每一條生產線上的管理工作,讓《網絡安全法》能夠發揮出它應有的價值。 [6] 
6、健全網站和網絡遊戲的管理
網站和網絡遊戲開發商要加大對於網站和網絡遊戲的管理與監督,爭取從源頭上就阻止木馬病毒,讓它沒有擴散的機會,這是防範網頁病毒和網絡遊戲的主要方式之一。另外,網絡環境的和設備的日常維護、維修、管理工作都要加強,內容包括網站的服務器每日檢查,服務器內的數據和資料進行更新,操作、行為日誌的核查等工作過,還需要對服務器的網絡配置、安全配置等情況進行嚴格的檢查等。 [6] 
7、增加網民的防範意識
我國計算機用户正在快速的增長,部分用户對於自身信息的保護意識不強,大部分用户的計算機上都沒有安裝一些殺毒軟件,或者是設置防火牆。他們應該深刻的意識到反病毒是一項長期且系統性的工作,主動了解這方面的相關知識,提高對於木馬病毒的防範措施。針對網站中攜帶的病毒問題,用户還可以利用防火牆在木馬盜取用户賬號、隱私之前,就將其攔截並殲滅。 [6] 
參考資料
  • 1.    王樹森,陳平.木馬病毒的攻擊原理與防治策略[J].軟件導刊,2012,11(6):146-148.
  • 2.    鄒志龍.淺談木馬病毒分類及防範[J].科技致富嚮導,2011,(22):151-151.
  • 3.    米沃奇.細説木馬病毒[J].電腦知識與技術-經驗技巧,2016,(9):111-115.
  • 4.    黃建強.木馬病毒的危害與應對[J].學園,2014,(8):182-183.
  • 5.    王庚.計算機木馬病毒及其防禦技術研究[J].電子製作,2014,(3):147-147,141.
  • 6.    劉一鳴.淺談木馬病毒的發展與防範措施[J].科學與信息化,2018,(32):65.