01. 简单介绍 “木马”程序是目前比较流行的病毒文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。从本质上讲,木马通常需要由用户或者其他恶意程序启动的恶意软件,恶意的代码通常以某种用途的实用程序或者工具作为幌子渗透到受害者的系统中去。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。 02. 危害性 木马病毒有什么危害? 盗取我们的网游账号,威胁我们的虚拟财产的安全。 盗取我们的网银信息,威胁我们的真实财产的安全。 利用即时通讯软件盗取我们的身份,传播木马病毒等不良信息 03. 传播方式 木马病毒的传播方式比较多,主要有: 利用下载进行传播,在下载的过程中进入程序,当下载完毕打开文件就将病毒植入到电脑中。 利用系统漏洞进行传播,当计算机存在漏洞,就成为木马病毒攻击的对象。 利用邮件进行传播,很多陌生邮件里面就掺杂了病毒种子,一旦邮件被打开,病毒就被激活。 利用远程连接进行传播。 利用网页进行传播,在浏览网页时会经常出现很多跳出来的页面,这种页面就是病毒驻扎的地方。 利用蠕虫病毒进行传播等。 04. 隐藏技术 将木马病毒的服务端伪装成系统服务。 当用户的计算机被木马病毒入侵并被远程攻击或控制的时候,往往会出现系统运行变慢或某些应用程序无法正常运行等情况。这种情况的发生很容易被用户察觉。通常情况下,用户会按下Ctrl+Alt+Del调用任务管理器查看进程。木马病毒会将自己伪装成“系统服务”,从而逃过用户的检查。 将自己伪装成系统文件。 木马病毒会想方设法将自己伪装成“不起眼”的文件或“正规”的系统文件,并把自己隐藏在系统文件夹中,与系统文件混在一起。 将木马程序加载到系统文件中。 win.ini和system.ini是两个比较重要的系统文件。在win.ini有两个重要的加载项—— “run=”和“load=”,它们分别担负着系统启动时自动运行和加载程序的功能。在默认情况下,这两项的值都应该为空。例如,run=c:windows abc.exe load=c:windows abc.exe,那么这个可疑的abc.exe 很可能是木马程序。还有的木马病毒会隐藏在system.ini内[BOOT]子项中的“Shell”启动项中,将“Explorer”变成病毒自己的程序名,从而在启动时伺机发作。 充分利用端口隐藏。 每一台计算机都默认有65536个端口,我们常用的端口不到默认值的1/3。由于占用常规端口会造成系统异常而引起用户警觉,因此病毒通常将自己隐藏在一些不常用的端口中,一般是1024以上的高端口。 隐藏在注册表中。 注册表中含有“run”的启动项也是木马病毒经常隐藏的地方。如,HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion下以“run”开头的键值。 自动备份。 为了避免在被发现之后清除,有些木马会自动进行备份。这些备份的文件在木马被清除之后激活,并再次感染系统。 木马程序与其他程序绑定。 现在,很多木马利用了一种称为文件捆绑机的工具,如exe-binder,这种工具可以把任意两个文件捆绑在一起,在运行时两个文件可以同时运行,但前台只能看见一个程序。 “穿墙术”。 病毒启动后会释放一个动态库文件,然后将这个动态库文件插入系统的进程体内运行,而病毒的绝大部分功能全部包括在这个动态库中,之后病毒的进程退出。这样在系统中就找不到病毒进程了,但是实际上很多的系统进程内部都有病毒模块在运行。 利用远程线程的方式隐藏。 远程线程是Windows为程序开发人员提供的一种系统功能,这种功能允许一个进程(进程A)在其他的进程(B)空间中分配内存,并且将自己的数据复制到其中,然后将复制的数据作为一个线程启动,这样进程B中就多出了一个新的线程——病毒线程,而且操作系统会认为这个病毒线程就是进程B的线程,线程所作的任何操作都会被记录为进程B的操作,这也是穿墙术的一种实现方法。 通过拦截系统功能调用的方式来隐藏自己。 通过先发制人的方法攻击杀毒软件。 05. 防范措施 由于木马病毒的传播方式多种多样,又通常具有一定的隐蔽性,因此,首先应提高对病毒的防范意识,在计算机的使用过程中应注意下几点: 尽量不使用盗版或来历不明的软件。 备份硬盘引区和主引导扇区数据,经常对重要的数据进行备份。 养成经常用杀毒软件检查硬盘和每一张外来盘的良好习惯。 杀毒软件应定期升级,一般间隔时间最好不超过一个月。 安装了实时监控防病毒软件,当然这也不是一劳永逸的方法,防病毒软件不一定对所有的病毒都有效,而且病毒的更新速度也很快。 不要轻易打开陌生人来信中的附件文件。 |