[科普中国]木马病毒

木马病毒其实是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计箅机系统中，里应外合，对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门，伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性，可以根据黑客意图突然发起攻击。1

含义计算机木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。2

木马程序表面上是无害的，甚至对没有警戒的用户还颇有吸引力，它们经常隐藏在游戏或图形软件中，但它们却隐藏着恶意。这些表面上看似友善的程序运行后，就会进行一些非法的行动，如删除文件或对硬盘格式化。2

完整的木马程序一般由两部分组成：一个是服务器端．一个是控制器端。“中了木马”就是指安装了木马的服务器端程序，若你的电脑被安装了服务器端程序，则拥有相应客户端的人就可以通过网络控制你的电脑。为所欲为。这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无安全可言了。2

发展历程木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇，或是急于显示自己实力，不断改进木马程序的编写。至今木马程序已经经历了六代的改进：3

第一代，是最原始的木马程序。主要是简单的密码窃取，通过电子邮件发送信息等，具备了木马最基本的功能。3

第二代，在技术上有了很大的进步，冰河是中国木马的典型代表之一。3

第三代，主要改进在数据传递技术方面，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了杀毒软件查杀识别的难度。3

第四代，在进程隐藏方面有了很大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程。或者挂接PSAPI，实现木马程序的隐藏，甚至在WindowsNT/2000下，都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。3

第五代，驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果，并深入到内核空间的，感染后针对杀毒软件和网络防火墙进行攻击，可将系统SSDT初始化，导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS，并且很难查杀。3

第六代，随着身份认证UsbKey和杀毒软件主动防御的兴起，黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主，后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。3

木马病毒可以发作的必要条件是客户端和服务端必须建立起网络通信，这种通信是基于IP地址和端口号的。藏匿在服务端的木马程序一旦被触发执行，就会不断将通信的IP地址和端口号发给客户端。客户端利用服务端木马程序通信的IP地址和端口号，在客户端和服务端建立起一个通信链路。客户端的黑客便可以利用这条通信链路来控制服务端的计算机。1

种类一、网游木马

随着网络在线游戏的普及和升温，中国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。3

网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。3

二、网银木马

网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。3

网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。2013年，安全软件电脑管家截获网银木马最新变种“弼马温”，弼马温病毒能够毫无痕迹的修改支付界面，使用户根本无法察觉。通过不良网站提供假QVOD下载地址进行广泛传播，当用户下载这一挂马播放器文件安装后就会中木马，该病毒运行后即开始监视用户网络交易，屏蔽余额支付和快捷支付，强制用户使用网银，并借机篡改订单，盗取财产。3

随着中国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。3

三、下载类

四、代理类

用户感染代理类木马后，会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目的。3

五、FTP木马

FTP型木马打开被控制计算机的21号端口(FTP所使用的默认端口)，使每一个人都可以用一个FTP客户端程序来不用密码连接到受控制端计算机，并且可以进行最高权限的上传和下载，窃取受害者的机密文件。新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。3

六、通讯软件类

常见的即时通讯类木马一般有3种：

（1）发送消息型

（2）盗号型

（3）传播自身型

七、网页点击类

特征(1)隐蔽性。

木马病毒可以长期存在的主要因素是它可以隐匿自己，将自己伪装成合法应用程序，使得用户难以识别，这是木马病毒的首要也是重要的特征。与其它病毒一样，这种隐蔽的期限往往是比较长的。经常采用的方法是寄生在合法程序之中、修改为合法程序名或图标、不产生任何图标、不在进程中显示出来或伪装成系统进程和与其它合法文件关联起来等。1

(2)欺骗性。

木马病毒隐蔽的主要手段是欺骗．经常使用伪装的手段将自己合法化。例如，使用合法的文件类型后缀名“dll、sys，ini’'等；使用已有的合法系统文件名，然后保存在其它文件目录中；使用容易混淆的字符进行命名，例如字母“o”与数字“0”，数字“1”与字母“i”。1

(3)顽固性。

木马病毒为了保障自己可以不断蔓延，往往像毒瘤一样驻留在被感染的计算机中，有多份备份文件存在，一旦主文件被删除，便可以马上恢复。尤其是采用文件的关联技术，只要被关联的程序被执行，木马病毒便被执行，并生产新的木马程序,甚至变种。顽固的木马病毒给木马清除带来巨大的困难。1

(4)危害性。

木马病毒的危害性是毋庸置疑的。只要计算机被木马病毒感染，别有用心的黑客便可以任意操作计算机，就像在本地使用计算机一样，对被控计算机的破坏可想而知。黑客可以恣意妄为，可以盗取系统的重要资源，例如：系统密码、股票交易信息．机要数据等。1

传播方式木马病毒的传播方式比较多，主要有：

（1）利用下载进行传播，在下载的过程中进入程序，当下载完毕打开文件就将病毒植入到电脑中；4

（2）利用系统漏洞进行传播，当计算机存在漏洞，就成为木马病毒攻击的对象；4

（3）利用邮件进行传播，很多陌生邮件里面就掺杂了病毒种子，一旦邮件被打开，病毒就被激活；4

（4）利用远程连接进行传播；4

（5）利用网页进行传播，在浏览网页时会经常出现很多跳出来的页面，这种页面就是病毒驻扎的地方；4

（6）利用蠕虫病毒进行传播等。4

伪装方式鉴于木马病毒的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。3

1、修改图标

当你在E-MAIL的附件中看到这个图标时，是否会认为这是个文本文件呢但是我不得不告诉你,这也有可能是个木马程序，已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标，这有相当大的迷惑性，但是提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑鬼的。3

2、捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件（即EXE，COM一类的文件）。3

3、出错显示

4、定制端口

很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以很多新式的木马都加入了定制端口的功能，控制端用户可以在1024-65535之间任选一个端口作为木马端口（一般不选1024以下的端口），这样就给判断所感染木马类型带来了麻烦。3

5、自我销毁

6、木马更名

危害木马病毒对计算机的直接破坏方式是改写磁盘，对计算机数据库进行破坏，给用户带来不便。当木马破坏程序后，使得程序无法运行，给计算机的整体运行带来严重的影响。另外一些木马可以通过磁盘的引导区进行，病毒具有强烈的复制功能，把用户程序传递给外部链接者。还可以更改磁盘引导区，造成数据形成通道破坏。病毒也通过大量复制抢占系统资源，对系统运行环境进行干扰，影响计算机系统运行速度。5

木马防范1、检测和寻找木马隐藏的位置

木马侵入系统后，需要找一个安全的地方选择适当时机进行攻击，了解和掌握木马藏匿位置，才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机操作系统中的注册表中，还有嵌入在启动文件中，一旦计算机启动，这些木马程序也将运行。5

2、防范端口

检查计算机用到什么样的端口，正常运用的是哪些端口，而哪些端口不是正常开启的；了解计算机端口状态，哪些端口目前是连接的，特别注意这种开放是否是正常；查看当前的数据交换情况，重点注意哪些数据交换比较频繁的，是否属于正常数据交换。关闭一些不必要的端口。5

3、删除可疑程序

对于非系统的程序，如果不是必要的，完全可以删除，如果不能确定，可以利用一些查杀工具进行检测。5

4、安装防火墙

防火墙在计算机系统中起着不可替代的作用，它保障计算机的数据流通，保护着计算机的安全通道，对数据进行管控可以根据用户需要自定义，防止不必要的数据流通。安装防火墙有助于对计算机病毒木马程序的防范与拦截。5

现阶段，我国存在着一些专业的服务集团，这些集团的存在可以组成一条比较完善的木马产业链。相对于社会安全法律，针对计算机安全的企管科，也应该受到有关部门和主体的重视与管理，需要建立对应的健全的法律措施。在2017年，我国计算机受到恶意感染的数量减少了百分之二十六，移动互联网恶意程序的数量也逐渐呈现出一种下降的趋势。正是由于《网络安全法》的实施，在一定程度上抑制了恶意程序的扰民问题，该法律法规的颁布，从网络的角度来看，强化了一些基础性网络设施的建设。因此，互联网环境下，必须依靠全产业链的合作，强化每一条生产线上的管理工作，让《网络安全法》能够发挥出它应有的价值。6

6、健全网站和网络游戏的管理

网站和网络游戏开发商要加大对于网站和网络游戏的管理与监督，争取从源头上就阻止木马病毒，让它没有扩散的机会，这是防范网页病毒和网络游戏的主要方式之一。另外，网络环境的和设备的日常维护、维修、管理工作都要加强，内容包括网站的服务器每日检查，服务器内的数据和资料进行更新，操作、行为日志的核查等工作过，还需要对服务器的网络配置、安全配置等情况进行严格的检查等。6