当今网络时代木马病毒及其防范措施

2023年12月21日发(作者：)

当今网络时代木马病毒及其防范措施

1认识木马病毒

木马病毒是指寄生于用户计算机系统中，盗窃用户信息，并通过网络发送给木马设计者的病毒程序。木马通常有两个可执行程序：一个是客户端(Client)，即控制端，另一个是服务端(Server)，即被控制端。客户端程序用于远程控制计算机；而服务端程序，则隐藏到远程计算机中，接收并执行客户端程序发出的命令。所以当黑客通过网络控制一台远程计算机时，第一步就需要将服务端程序植入到远程计算机。为了能够让用户执行木马程序，黑客常常通过各种方式对它进行伪装。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

2几种常见的木马病毒

(1) 反弹端口型木马：木马开发者分析了防火墙的特性后，发现防火墙对于连入的链接会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端) 使用被动端口。

(2) 信息窃取型/密码发送型：这种木马可以找到目标机的隐藏密码，并且在受害者不知道的情况下，把它们发送到指定的信箱。

(3) 键盘记录木马：这种木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。这种木马随着Windows 的启动而启动。

(4) 远程控制型：这种木马是现在使用最广泛的木马，它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序，客户端通过扫描等手段知道了服务端的IP地址，就可以实现远程控制。

(5)FTP木马：这种木马可能是最简单和古老的木马，它的唯一功能就是打开21端口，等待用户连接。

(6) 程序杀手木马：上面列举的木马功能虽然形形色色，要想在对方机器上发挥自己的作用，须绕过防木马软件。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他木马更好地发挥作用。

(7) 破坏型：唯一的功能就是破坏并且删除文件。可以自动的删除电脑上的DLL、INI、EXE文件。

(8) 代理木马：用户感染代理类木马后，会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目的。

3木马病毒的传播途径

(1) 通过E-mail：早期的木马，大多是通过发送电子邮件的方式把入侵主机信息告诉攻击者，有一些木马程序干脆把主机所有的密码用邮件的形式通知给攻击者，这样攻击者就不用直接连接攻击主机即可获得一些重要数据，如攻击OICQ密码的GOP木马。由控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马。

(2) 通过软件下载：一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会被自动安装了。

(3) 通过Script、ActiveX及ASP、CGI交互脚本的方式植入：由于IE 浏览器在执行Script脚本上存在安全漏洞，因此，木马就可以利用这些漏洞很容易植入被攻击的电脑。

(4) 利用一些系统漏洞植入，如著名的IIS服务器溢出漏洞：通过一个IISHACK 攻击程序使IIS服务器崩溃，同时在服务器上执行木马程序，从而植入木马。

(5) 通过移动存储设备(U盘等)：主要是依赖微软操作系统Windows的Autorun(自动运行)功能，使得计算机用户在双击打开U盘的时候，自动执行木马程序，进而感染计算机系统。

4木马病毒的防范措施

木马病毒越来越隐蔽，破坏性也越来越大，给人们的日常工作和生活甚至是国家安全都带来了巨大的影响。木马实质上是一个程序，必须运行后才能工作，所以肯定会在电脑中留下珠丝马迹，我们可以从“防、查、堵、杀”四方面入手。

4.1防

必须在思想上引起高度的重视，增强安全意识，防患于未然。

(1) 增强防范意识

安装专业的防毒软件及时升级到最新版本，并打开实时监控程序；安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。打开防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，达到全方位保护计算机系统安全的目的。养成良好的上网习惯，尽量从大规模门户网站或官方网站浏览信息，不随意登陆不明网站及不规范网站。不要随便打开来

历不明的邮件附件或点击陌生邮件的网页链接。在浏览互联网时，若以微软IE为核心的浏览器上网，则要随时关注微软官方网站，及时升级补丁程序。

(2) 网站管理需更加严格

针对目前大量网站携带木马病毒，甚至公开贩卖病毒的现象，应加大网站管理力度，力争从源头阻击木马病毒，使之没有扩散的机会，是防范网页木马的根本。

4.2查

(1) 检查系统进程

大部分木马运行后会显示在进程管理器中，所以对系统进程列表进行分析和过滤，可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较，发现异常现象。

(2) 检查ini文件

木马可在和的“run=”、“load=”、“shell=”后面加载，如果这些选项后面加载程序是你不认识的，就有可能是木马。

(3) 检查注册表

木马为了能够在开机后自动运行，往往在注册表中添加注册表项。一般来说，木马在注表中实现加载文件一般是在以下等处：HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersion下所有以“run”开头的键值；HKEY_USERS.

DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。此外在注册表中的HKEY_CLASSES_

ROOTexefileshellopencommand=””%1”%*”处，如果其中的“%1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的改成了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

(4) 检查启动组

启动组也是木马藏身的好地方。启动组对应的文件夹为：C:windowsstartmenuprogramsstartup，在注册表中的位置：HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionExplorerShellFolders Startup=“C:windows

startmenuprogramsstartup”。检查是否有可疑的启动程序，便很容易查到是否中了木马。

(5) 检查端口

远程控制型木马以及输出shell型木马，大都会在系统中监听某个端口，接收从控制端发来的命令，并执行。通过检查系统上开启的一些“奇怪”的端口，从而发现木马的踪迹。在命令行中输入netstat -na，可以清楚地看到系统打开的端口和连接。

4.3堵

(1) 堵住控制通路

通过禁用网络连接或拔掉网络，可以完全避免远端计算机通过网络对你的控制。当然，亦可以通过设置防火墙应用规则或过滤UDP、TCP、ICMP端口。

(2) 堵安全漏洞

Windows操作系统，特别是IE浏览器的安全漏洞频出，无疑给木马传播打开方便之门。及时安装Windows安全更新，多安装一个微软的安全更新程序，就能有效免疫相当一部分网页木马。将常用的第三方软件(例如RealPlayer，暴风影音、迅雷、联众世界等)及时升级到最新版本，也可以在一定程度上降低威胁。因此，我们要养成打补丁的习惯，对切断木马病毒的传播途径将具有极好的效果。

4.4杀

(1) 使用木马查杀软件

用户系统要安装木马查杀软件，实际上一般的普通杀毒软件里都包含了对木马的查杀功能。对于查杀软件，一定要经常升级，不断更新木马代码库里的数据，并通过病毒公告及时了解新木马的预防和查杀绝技。

(2) 手工删除

对于一些可疑文件，不能立即删除，因为有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表，接着用Ultraedit32编辑器查看文件首部信息，通过可疑文件里面的明文字符对木马有一个大致了解。最后，删除木马文件及注册表中的键值。

5结束语

总之，我们要从习惯、意识、工具、机制等四个层面上确保网络安全，防止出现信息“泄密”。

参考文献：

[1] 张友生,米安然.计算机病毒与木马程序剖析[M]. 北京:北京科海电子出版社,2003.

[2] 马宜兴.网络安全与病毒防范[M].上海:上海交通大学出版社,2005.

Talking about the Trojan-Horse and the Defensive Measures in the Internet Age

LIU Hong-yan

(Doumen Radio &TV University，Zhuhai 519100, China )

Abstract: Presently, it become the tendency that hackers produce viruses in

industrialization by the technical methods of the addition shell, and viruses may be

producted automatically as long as the shell tool will be downloaded from the net.

Trojan-horse virus that has more and more obvious burglary characteristic changes to

create loses directly to the victim. This article elaborated the present situation and

characteristics on our country Trojan-horse virus development, and discussed the

specific safety defensive measures against the kind of viruses.

Key words: Trojan-horse; virus; safety defensive measures