病毒防护之木马篇

<%@ Page language="c#" Codebehind="$FILENAME$.cs" AutoEventWireup="false" Inherits="$INHERITS$" %> 病毒防护之木马篇

病毒防护之木马篇

木马也叫特洛伊木马”（trojan horse）据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。在信息敏感的今天，人们对于信息技术的安全防护，特别是对木马的防护更是尤为的关注。

要想预防您的PC不遭木马的袭击，那么我们就首先来了解一下，那些所谓的"黑客"是怎样种植木马的。

1、网吧陷阱。

就是在网吧里种植木马。这个似乎在以前很流行，先关闭网吧的放火墙，再安装木马客户端，立刻结帐下机，注意，重点是不要重起机器，因为现在网吧都有还原精灵，所以在不关机器的情况下，木马是不会给发现的。因此，在网吧上网，首先要重起机器，其次看看杀毒软件有没有打开。最后建议，不要在网吧打开有重要密码的东西，如网络银行等。毕竟现在木马客户端躲避防火墙的能力很强，其次是还存在其他的病毒。所以天下没免费的午餐，千万别看在网吧，看有的电脑没关又没有人，就去占那种小便宜。

2、隐藏的捆绑

捆绑软件现在很多，具体使用就是把木马客户端和一个其他文件捆绑在一起（拿JPG图象为例），你看到的文件可能是.jpg，图标也是正常（第2条直接传的木马客户端是个windows无法识别文件的图标，比较好认），特别是现在有些捆绑软件对捆绑过后的软件进行优化，杀毒软件很难识别其中是否包含木马程序。所以千万不要轻易点击别人发送过来的文件，还有些诱惑力很大的图片哦<^-^>.

3、危险的网站

对于那些看似免费体验，或者不是很正当的网站，记着千万不要轻易就点进去了。因为将木马安装在自己的主页里面，当你打开页面就自动下载运行。（见下篇，打造网页木马）“你中奖了，请去www.**.com领取你的奖品”，黑客可能这么和你说。建议：陌生人提供的网页不要打开，不要去很奇怪名字的网站。及时升级杀毒软件。

针对如上所诉，我们介绍一些基本防范的方法。

现在网页木马无非有以下几种方式中到你的机器里。

　　1:把木马文件改成BMP文件，然后配合你机器里的DEBUG来还原成EXE，网上存在该木马20%

　　2:下载一个TXT文件到你机器，然后里面有具体的FTP^-^作，FTP连上他们有木马的机器下载木马，网上存在该木马20%

　　3:也是最常用的方式，下载一个HTA文件，然后用网页控件解释器来还原木马。该木马在网上存在50%以上

　　4:采用JS脚本，用VBS脚本来执行木马文件，该型木马偷QQ的比较多，偷传奇的少，大概占10%左右

　　5:其他方式未知。。。。。。。。。。。。。

　　现在我们来说防范的方法。。。。。。。。。不要丢金砖

　　那就是把 windowssystemmshta.exe文件改名，

　　改成什么自己随便 (Windows XP/2000是在system32下)

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新键值下创建一个REG_DWORD 类型的键Compatibility，并设定键值为0x00000400即可。

　　还有windowscommanddebug.exe和windowsftp.exe都给改个名字 (或者删除)

　　一些最新流行的木马最有效果的防御~~。

　　比如网络上流行的木马 smss.exe 这个是其中一种木马的主体潜伏在 98/winme/xp c:windows目录下 2000 c:winnt .....

　　假如你中了这个木马首先我们用进程管理器结束正在运行的木马smss.exe 然后在C:windows 或 c:winnt目录下创建一个价的 smss.exe 并设置为只读属性~ (2000/XP NTFS的磁盘格式的话那就更好可以用“安全设置” 设置为读取) 这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马。

　　经过这样的修改后，我现在专门找别人发的木马网址去测试，实验结果是上了大概20个木马网站，有大概15个瑞星会报警，另外5个瑞星没有反映，而我的机器没有添加出来新的EXE文件，也没有新的进程出现，只不过有些木马的残骸留在了IE的临时文件夹里，他们没有被执行起来，没有危险性，所以建议大家经常清理临时文件夹和IE。

病毒也随之运行并感染其它程序。而病毒又有一些不带恶意攻击的编码，但更多的病毒携带毒码，一旦被触发，就像是被打开的潘多拉魔盒一样。顷刻就被感染或被破坏。自80年代莫里斯编制的第一个“蠕虫”病毒程序至今，世界上已出现了多种不同类型的病毒。而近几年，出现的主要病毒有一下几种：

(1)"美丽的礼物"（Terrorist gift）。这种病毒是专门针对微软电子邮件服务器MS Exchange和电子邮件收发软件0ut1ookExpress的Word宏病毒。作为一种拒绝服务的攻击型病毒，它是Word文档附件，由E-mall携带传播扩散，能够影响微软word97、word2000和0utlook等产品在计算机上的正常运行。由于它具有自我复制的特性，所以一旦运行的话，就会使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自动复制发送，从而过载E-mai1服务器或使之损坏。而它尤为恐怖的是它成几何级数，扩散的速度。如果让它按照实际理论的速度去传播的话，5次的繁殖就可以让全世界所有的网络用户都都收到一份。它的恐怖不仅仅如此，更为恐怖的是，作为人们尤为敏感和极其秘密的相关信息，在不经意间已通过电子邮件的频繁发送泄陋出去了，更有甚者，连扩散的方向都不得而知。

（2）“幽狐”（Quiet fox）病毒。幽狐”病毒是另一种Excel宏病毒，它能够绕开网络管理人员设置的保护措施进入计算机。这种病毒与“恐怖的礼物”病毒相类似，其区别在于“怕怕”病毒不但能象“美丽杀手”病毒一样迅速传播，拒绝服务和阻塞网络，而且更为严重的是它能使整个网络瘫痪，使被它感染的文件所具有的宏病毒预警功能丧失作用。

（3）“疯牛病”（Mad Cow）和“幽狼（Quiet wolf）”病毒。这两种病毒分别是“美丽的礼物”和“幽狐”病毒的新的变型病毒。正当美国紧急动员起来对付3月26日发现的“美丽的礼物”和“幽狐”病毒时，在欧洲又出现了它们的新变种“漂亮的礼物”（又叫作“疯牛病”）和“幽狼”，目前正横扫欧洲大陆，造成大规模破坏，而且还正在向全世界扩散蔓延。虽然这两种病毒变种的病毒代码不同，可能不是一个人所编写，但是，它们同样也是通过发送Word和Excel文件而传播。每次被激活后，这种病毒就会向用户电子邮件簿的前60个地址发送垃圾邮件；它还可以向一个外部网站发送网络请求，占用大量的带宽而阻滞网络的工作，其危害性比原型病毒有过之而无不及。

（4）“幸福时刻”宏病毒。这是一种比“美丽的礼物”的破坏作用小得多的病毒。“幸福时刻”病毒会改变计算机中的微软公司Windows程序与Internet网工作。这种病毒还发送一个执行文件，激活焰火显示，使屏幕碎裂。

（5）“咻咻”（Ping）轰击病毒。“咻咻”轰击病毒的英文单词是“分组Internet搜索者”的缩写，指的是将一个分组信息发送到服务器并等待其响应的过程，这是用户用以确定一个系统是否在Internet网上运行的一种方法。据外电报道，运用“咻咻”（Ping）轰击病毒，发送大量的“咻咻”空数据包，使服务器过载，不能对其它用户作出响应。

归纳起来，计算机病毒有以下特点：一是攻击隐蔽性强。病毒可以无声无息地感染计算机系统而不被察觉，待发现时，往往已造成严重后果。二是繁殖能力强。电脑一旦染毒，可以很快“发病”。目前的三维病毒还会产生很多变种。三是传染途径广。可通过软盘、有线和无线网络、硬件设备等多渠道自动侵入计算机中，并不断蔓延。四是潜伏期长。病毒可以长期潜伏在计算机系统而不发作，待满足一定条件后，就激发破坏。五是破坏力大。计算机病毒一旦发作，轻则干扰系统的正常运行，重则破坏磁盘数据、删除文件，导致整个计算机系统的瘫痪。六是针对性强。计算机病毒的效能可以准确地加以设计，满足不同环境和时机的要求。