大学信息技术应用：解读和防御木马病毒

木马（也称为特洛伊木马）病毒是一种危害性极大的恶意程序。它可以窃取数据，篡改、破坏数据和文件，释放病毒，执行远程非法操作者的指令，甚至可以使系统自毁。但不容易被用户发觉，如在用户不知晓的情况下拷贝文件或窃取密码。

1.木马病毒发作特性

在使用计算机的过程中如果发现：计算机反应速度发生了明显变化，硬盘在不停地读写，鼠标不听使唤，键盘无效，自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁，没有运行大的程序，而系统却越来越慢，系统资源占用很多，或运行了某个程序没有反映，或在关闭某个程序时防火墙探测到有邮件发出……

这些不正常现象表明：计算机很可能中了木马病毒。

简单地说，凡是人们能在本地计算机上操作的功能，木马程序基本上都能实现。

2.基于动作的木马病毒类型

（1）远程控制型是木马病毒的主流，一般由被控端和控制端两部分组成。被控端的任务是隐藏在被控主机的系统内部，并打开一个监听端口，等待着攻击的时机，当接收到来自控制端的连接请求后，主线程立即创建一个子线程并把请求交给它处理，同时继续监听其他的请求。控制端的任务是发送命令，并接收返回信息。

木马病毒运行时先运行服务端程序，同时获得远程主机的IP地址，控制者就能任意访问被控制端的计算机，从而使远程控制者在本地计算机上做任意想做的事情。

（2）信息窃取型。其目的是收集系统上的敏感信息，例如用户登录类型、用户名、口令、帐号、密码等。

这种木马一般不需要客户端，运行时不会监听端口，只悄悄地在后台运行，一边收集敏感信息，一边不断检测系统的状态。一旦发现系统已经连接到Internet上，就在受害者不知情的情形下将收集的信息通过一些常用的传输方式（如电子邮件、ICQ、FTP）把它们发送到指定的地方。

（3）键盘记录型。键盘记录型木马只做一件事情，就是记录受害者的键盘敲击，并完整地记录在LOG文件中。

（4）毁坏型。毁坏型木马以毁坏并删除文件（如受害者计算机上的.dll、.ini或.exe）为主要目的。

3.木马程序的特征

（1）非授权性与自动运行性。一旦控制端与服务端建立连接后，控制端将窃取用户密码，获取大部分操作权限，如修改文件、修改注册表、重启或关闭服务端操作系统、断开网络连接、控制服务端鼠标和键盘、监视服务端桌面操作、查看服务端进程等。这些权限不是用户授权的，而是木马自己窃取的。

（2）隐藏性和欺骗性。隐藏是一切恶意程序的存在之本。而木马为了获得非授权的服务，还要通过欺骗进行隐藏。

（3）可预置性。木马程序可以在系统软件和应用软件的文件传播中被植入，也可以在系统或软件设计时被故意放置进来。例如，微软曾在其操作系统设计时故意放置了一个木马程序，可以将客户的相关信息发到其总部。(www.xing528.com)

（4）非自繁殖性与非自动感染性。一般说来，病毒具有极强的传染性，而木马虽然可以传播，但本身不具备繁殖性和自动感染的功能。

4.木马病毒传播方式

木马的传播都是先进行伪装或改头换面，如利用exe文件绑定将木马捆绑在小游戏上，或将木马的图标直接改为html，txt，jpg等文件的图标，然后进行传播。

（1）手工放置。手工放置比较简单，是最常见的做法。手工放置分本地放置和远程放置两种。本地放置就是直接在计算机上进行安装。远程放置就是通过常规攻击手段使获得目标主机的上传权限后，将木马上传到目标计算机上，然后通过其他方法使木马程序运行起来。

（2）以邮件附件的形式传播。控制端将木马改头换面后，然后将木马程序添加到附件中，发送给收件人。

（3）通过ICQ对话，利用文件传送功能发送伪装了的木马程序。

（4）将木马程序捆绑在软件安装程序上，通过提供软件下载的网站（Web/FTP/BBS）传播。

（5）通过病毒或蠕虫程序传播。

（6）通过U盘、活动磁盘或光盘等移动存储介质传播。

5.木马病毒举例

主要的木马病毒有SURFSPY、EXEBIND、SCANDRIV、NCALRPC、WAY20、OICQ.KEY、CAINABEL151、ZERG、BO.1EANPB、COCKHORSE、ZSPYIIS、NETHIS等。其中OICQ.KEY、NETHISF是可将IP地址、系统密码等发送出去的木马，被悄悄捆绑在某OICQ在线聊天程序中，结果被人下载了几十万多次，真不知有多少人受到伤害。

直接进行破坏的恶性程序，如shanghai.TCBOMB（上海TC炸弹），放在网上供人下载。不知情的用户一执行，瞬间硬盘就不能用了，数据就取不出来了。

HARM/DEL-C（删除C），这个程序被人用了一个响亮的名字，一旦被执行，C盘下的文件全被删除了。

这类恶意程序还有FUNJOKE、SIJI、HA-HA、MAILTOSPAM、SYSCRASH、CLICKME、QUAKE、WAY20、TDS.SE、STRETCH、NUKER等。

无破坏作用的恶作剧，出现一幅吓人的画面，或死机，或屏幕抖动等。这类程序有JOKE/GHOS、TBLUEBOMB、FLUKE、JOKEWOW等。