木馬名稱的由來

木馬病毒入侵電腦木馬這個名字來源于古希臘傳說(荷馬史詩中木馬計的故事，Trojan一詞的特洛伊木馬本意是特洛伊的，即代指特洛伊木馬，也就是木馬計的故事)。

木馬基本概念

它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。木馬程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種者的電腦。

傳統(tǒng)木馬

傳統(tǒng)木馬都由兩部分組成：客戶端和服務器端，即C/S(Client/Server)類型?？蛻舳嗽诒镜刂鳈C執(zhí)行，用來控制服務器端。服務器端在遠程主機執(zhí)行，一旦執(zhí)行成功，遠程主機就中了木馬，就可以被控制或者造成其他的破壞。

新型木馬

反彈端口木馬，該木馬與傳統(tǒng)木馬最大的區(qū)別在于服務端一旦被執(zhí)行，會主動連接客戶端。由于防火墻一般是許出不許進，這樣反彈端口木馬就利用了防火墻這一特點，穿透防火墻。

為了躲避防病毒軟件的查殺，DLL木馬也誕生了。任何一個程序運行都需要調(diào)用自身的DLL程序，由于DLL文件本身是不能執(zhí)行的，所以殺毒軟件不會把它列到查殺范圍當中。DLL木馬利用應用程序進程都要調(diào)用很多DLL文件這種特點，把自己插入到普通的應用程序的進程中，使用戶無法在任務管理器當中發(fā)現(xiàn)木馬的任何蹤跡。所以DLL木馬又被人們稱為無進程木馬，隱蔽性相當強。

由于網(wǎng)絡游戲和IM軟件的盛行，在巨大的利益面前，使各種盜號木馬迅速的生根發(fā)芽。千萬不要小看這些盜號木馬，在技術上絲毫不亞于經(jīng)典的木馬，甚至某些地方比那些老牌木馬更為強大。

木馬的通用解法

1.發(fā)現(xiàn)木馬

無論什么木馬，都想要破壞系統(tǒng)必須的依賴網(wǎng)絡，所以我們可以利用“netstat -nao”命令來查看本機當前的網(wǎng)絡連接及使用的端口號。

如果遇到的是DLL木馬，我們看到的進程有可能是正常的系統(tǒng)進程，可以利用命令行的工具listdlls.exe，鍵入“listdlls exe文件名稱”，就可以查看到這個exe程序?qū)腄LL。

2.結束木馬進程

如果遇到的是普通木馬，那么用戶可以直接在“任務管理器”中右擊結束木馬進程。如果是DLL木馬，仍然需要借助listdlls.exe的幫助，在鍵入“listdlls –d dll文件名稱”后，即可將DLL進程結束。

3.還原木馬修改的注冊表鍵值

木馬最喜歡光顧的注冊表鍵值莫過于系統(tǒng)中的文件關聯(lián)，因為文件關聯(lián)對系統(tǒng)的影響尤為重要，因為木馬如果關聯(lián)了一個文件類型，那么用戶一旦打開該類型的文件，木馬就會被執(zhí)行了。例如冰河木馬，會把自身和.txt文件關聯(lián)，只要有一個.txt文件被打開，木馬就會先執(zhí)行自己，再調(diào)用原來打開.txt文件的程序來打開.txt文件。

4.刪除病毒啟動項

為什么在清除木馬以后，重新啟動計算機，木馬又回來了？其根本原因就是木馬把自己加載到了啟動項當中，雖然用戶清除了木馬，但是一旦系統(tǒng)重啟，木馬將再次得到加載，所以我們必須將系統(tǒng)啟動項中的木馬清除干凈。

1、幾乎所有的木馬都喜歡利用注冊表來達到隨系統(tǒng)啟動的目的

2、修改System.ini。該文件位于系統(tǒng)文件夾下，是系統(tǒng)啟動的必需文件。正常情況下，shell=后面應該只有explorer.exe，如果發(fā)現(xiàn)加進去了其他程序，則很有可能是感染了木馬。

木馬會修改注冊表的以下項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

3、修改Win.ini。該文件記錄了系統(tǒng)的基本信息，也是啟動時必須要執(zhí)行的文件之一。在它的Windows字段里，默認情況下load和run后面為空，如果發(fā)現(xiàn)任何一個后面被加進去了程序的地址，則肯定中了木馬，并且這里就是木馬的啟動地址。

4、修改Autoexec.bat。這個批處理文件是專門用來執(zhí)行一些需要在啟動時執(zhí)行的程序的，位于系統(tǒng)盤的根目錄下。如果用戶不需要利用該文件在開機時執(zhí)行某些程序，完全可以刪除該文件。默認情況下該文件里無可執(zhí)行程序，如果發(fā)現(xiàn)里面有了其他語句就需要注意了，說不定已經(jīng)感染了木馬。

5、修改“啟動”組。“啟動”組是一個以文件夾形式存在的系統(tǒng)目錄，它不能被刪除，任何程序只要位于該文件夾下，就會毫無條件的在開機時自動運行。所以這也成了木馬很好的啟動方式之一。依次打開 “開始→程序”，就會發(fā)現(xiàn)有一個“啟動”文件夾。如果發(fā)現(xiàn)里面有了不明程序，則很可能是中了木馬。

6、修改服務這是一種非常隱蔽的啟動方式，木馬把自己注冊為系統(tǒng)服務，并設置服務屬性為“自動”。由于所有屬性為“自動”的服務都會在開機時被執(zhí)行，木馬當然也不例外。在“運行”里輸入services.msc并回車，就可以打開“服務”窗口，如果發(fā)現(xiàn)其中存在沒有描述的服務，就需要注意了，該程序多半也是木馬程序。

最后也是最為簡單的一步，在系統(tǒng)中搜索木馬文件的名稱，當找到木馬原文件后，將它刪除即可

【編輯推薦】

1. 廣告類惡意木馬新變種
2. 黑客欺騙網(wǎng)友執(zhí)行木馬的方法
3. 黑客種植木馬新方法及防范策略