木馬_病毒特點分析及防護方法

1、文章編號 : 1009 - 3907 ( 2008 ) 06 - 0031 - 03“木馬 ”病毒特點分析及防護方法成桂玲(吉林工商學(xué)院 計算機系 , 吉林 長春130062 )摘 要 :隨著信息化技術(shù)的發(fā)展 ,網(wǎng)絡(luò)已成為人們生活中不可或缺的組成部分 。在感受網(wǎng)絡(luò)帶來的信息交流與資源共享的益處的同時 ,各種各樣的病毒侵襲也讓電腦用戶頭痛不已 。近來“木馬 ”病 毒就是其中非常猖獗的一種 。本文分析了“木馬 ”病毒的特點 、類型以及如何防護與清除“木馬 ”病 毒 。關(guān)鍵詞 :“木馬 ”病毒 ;防護 ;清除中圖分類號 : TP393108文獻標識碼 : A1 “木馬 ”病毒簡介“木馬 ”全稱是“特

2、洛伊木馬 ( Tro jan Ho rse) ”,原指古希臘士兵藏在木馬內(nèi)進入敵方城市從而占領(lǐng)敵方 城市的故事 。在 In te rne t上 ,“特洛伊木馬 ”指一些程序設(shè)計人員在網(wǎng)絡(luò)上下載 (Down load)的應(yīng)用程序或游 戲中 ,包含了可以控制用戶的計算機系統(tǒng)的程序 ,可能造成用戶的系統(tǒng)被破壞甚至癱瘓 1 。特洛伊木馬是 一種惡意程序 ,它們悄悄地在宿主機器上運行 ,就在用戶毫無察覺的情況下 ,讓攻擊者獲得了遠程訪問和控 制系統(tǒng)的權(quán)限 。2 “木馬 ”病毒的特點“木馬 ”病毒是一種專門用來偷取用戶資料的病毒 ,是一種極度危險的惡意程序 ?！澳抉R ”病毒雖然和其 他惡意程序一樣 ,也會

3、刪除或修改文件 、格式化硬盤 、上傳和下載文件 、騷擾用戶 、驅(qū)逐其他惡意程序 ,但除此 之外 ,“木馬 ”病毒還有其獨一無二的特點 :竊取內(nèi)容和遠程控制 。這使得它們成為最危險的惡意軟件 。( 1 )“木馬 ”病毒具有捕獲每一個用戶屏幕 、每一次鍵擊事件的能力 ,這意味著攻擊者能夠輕松地竊取用 戶的密碼 、目錄路徑 、驅(qū)動器映射 ,甚至醫(yī)療記錄 、銀行賬戶和信用卡 、個人通信方面的信息 。假如你的電腦 中帶有麥克風(fēng) ,那么“木馬 ”病毒就可能竊聽到你的談話內(nèi)容 。( 2 )“木馬 ”病毒帶有嗅探器 ,它能夠捕獲和分析流經(jīng)網(wǎng)卡的每一個數(shù)據(jù)包 。攻擊者可以利用木馬竊取 的信息設(shè)置后門 ,即使“木

4、馬 ”病毒后來被清除了 ,攻擊者仍可以利用以前留下的后門方便地闖入 。( 3 )如果一個未經(jīng)授權(quán)的用戶掌握了遠程控制宿主機器的能力 ,宿主機器就變成了強大的攻擊武器 。 “木馬 ”病毒不僅使遠程用戶擁有了隨意操控 PC本身資源的能力 ,而且還能夠冒充 PC合法用戶 。3 “木馬 ”病毒的類型根據(jù)“木馬 ”病毒的特點與其危害范圍 ,“木馬 ”病毒主要有以下五大類別 。311 網(wǎng)游木馬病毒此類木馬針對網(wǎng)絡(luò)游戲 ,它會盜取用戶賬號 ,并將用戶賬號中的游戲裝備轉(zhuǎn)移 ,再由木馬病毒使用者賣出這些盜取的游戲裝備而獲利 。收稿日期 : 2008 210 215作者簡介 :成桂玲 ( 1981 2) ,女 ,

5、吉林省長春市人 ,吉林工商學(xué)院計算機系助教 ,主要從事計算機教學(xué)與研究 。32長 春 大 學(xué) 學(xué) 報第 18卷312 網(wǎng)銀木馬病毒網(wǎng)銀木馬專門針對網(wǎng)絡(luò)銀行攻擊 ,采用記錄鍵盤和系統(tǒng)動作的方法盜取網(wǎng)銀的賬號和密碼 ,并發(fā)送到作 者指定的郵件 ,直接導(dǎo)致用戶的經(jīng)濟損失 。313 即時通訊木馬病毒可以利用即時通訊工具 (比如 : QQ、M SN )進行傳播 。用戶中了此類木馬后 ,電腦會下載病毒攻擊作者指向的任意程序 ,其危害不可確定還會造成惡作劇 。314 后門木馬病毒此類木馬病毒主要是通過系統(tǒng)漏洞進行破壞 。后門木馬病毒添加了漏洞 、蠕蟲等病毒技術(shù) ,在互聯(lián)網(wǎng)上大肆傳播 。病毒會以感染的系統(tǒng)為源

6、頭 ,利用 R PC漏洞 、L SA SS漏洞 、弱密碼攻擊等方式主動傳播自己 。還 會在系統(tǒng)中開放端口 ,等待黑客連接 ,根據(jù)黑客的指令進行多種破壞操作 。315 廣告木馬病毒此類木馬采用各種技術(shù)隱藏于系統(tǒng)內(nèi) ,修改 IE等網(wǎng)頁瀏覽器的主頁 。4 “木馬 ”病毒的防護隨著病毒編寫技術(shù)的發(fā)展 ,木馬程序?qū)τ脩舻耐{越來越大 ,尤其是一些木馬程序采用了極其狡猾的手 段來隱蔽自己 ,因此用戶在使用計算機時應(yīng)該采取以下措施來有效地預(yù)防“木馬 ”病毒的侵襲 。411 不要隨意打開來歷不明的郵件現(xiàn)在許多“木馬 ”都是通過郵件來傳播的 。所以當你收到來歷不明的郵件時 ,請不要打開應(yīng)直接刪除 。同時 ,我們

7、還應(yīng)該加強郵件監(jiān)控系統(tǒng) ,拒收垃圾郵件 。對于郵件附件要先用防病毒軟件和專業(yè)清除木馬的工 具進行掃描后再使用 。例如名為“H app y99 ”的木馬就會自動加在 E2m a il附件當中 ,當用戶下載附件時就會 中病毒 。412 不要隨意下載來歷不明的安裝軟件現(xiàn)在大多數(shù)“木馬 ”都直接隱藏在安裝軟件中 ,同時出現(xiàn)在網(wǎng)頁的最顯眼處來引導(dǎo)用戶下載 。所以用戶在下載必要軟件安裝時 ,最好用殺毒軟件查看有沒有病毒 ,之后才進行安裝 。413 經(jīng)常升級系統(tǒng)及時修補漏洞和關(guān)閉可疑的端口一般木馬都是通過漏洞在系統(tǒng)上打開端口留下后門 ,以便上傳木馬文件和執(zhí)行代碼 。用戶在使用計算 機時應(yīng)及時更新系統(tǒng)漏洞修補

8、程序以防“木馬 ”病毒入侵 。在把漏洞修補上的同時 ,也要及時對端口進行檢查 ,把可疑的端口關(guān)閉 。414 盡量少用共享文件夾如果必須使用共享文件夾 ,則最好設(shè)置賬號和密碼保護 。注意千萬不要將系統(tǒng)目錄設(shè)置成共享 ,最好將系統(tǒng)下默認共享的目錄關(guān)閉 。W indow s系統(tǒng)默認情況下將目錄設(shè)置成共享狀態(tài) ,這是非常危險的 。415 禁用 W in dow s系統(tǒng)對移動存儲設(shè)備的自動播放功能“木馬 ”病毒也會利用 U 盤傳播 ,例如有名的“機器狗木馬 ”就屬此類 。如果 U 盤中含有此病毒時 ,如果直接雙擊打開 U 盤 ,就會激活病毒 ,從而感染進電腦中 。因此建議用戶通過組策略的方式禁用 U 盤

9、的自動 播放功能 。在使用 U 盤等移動存儲設(shè)備時要先查殺病毒再使用 。416 運行實時監(jiān)控程序及時更新病毒庫用戶在上網(wǎng)時最好運行反木馬實時監(jiān)控程序和個人防火墻 ,并定時對系統(tǒng)進行病毒檢查 ,同時啟動病毒庫實時升級程序及時更新病毒庫 。5 “木馬 ”病毒的清除方法電腦中了木馬后 ,就要根據(jù)木馬的特征來清除 。查看是否有可疑的啟動程序 、可疑的進程存在 ,是否修 改了 w in. in i、system. in i系統(tǒng)配置文件和注冊表 。如果存在可疑的程序和進程 ,就按照特定的方法進行清 除 。© 1994-2013 China Academic Journal Electronic

10、Publishing House. All rights reserved. 第 6期成桂玲 :“木馬 ”病毒特點分析及防護方法33511 檢查注冊表 ,刪除可疑文件一旦電腦中了“木馬 ”我們首先要查看注冊表 ,將注冊表中木馬修改的部分還原 。可能有些木馬會不允 許執(zhí)行. exe文件 ,這樣我們就需要先將 reged it. exe改成系統(tǒng)能夠運行的 ,比如可以改成 reged it. com ,然后檢 查注冊表中有無. exe鍵值 。如有 ,則將其刪除 , 并進入 M S2DO S方式 , 將 W indow s System 中的 . exe 文件刪 除 。例如名為“H app y99 ”

11、的木馬首次運行時窗口會顯示美麗的煙花 ,此時該程序就會將自身復(fù)制到 W in2 dow s95 /98的 System 目錄下 ,更名為 Ska. exe,創(chuàng)建文件 Ska. d ll,并修改 W sock321d ll,將修改前的文件備份為W sock32. ska,并修改注冊表 。用戶可以檢查注冊表中有無鍵值 Ska. exe。如有 ,將其刪除 ,并刪除 W indow sSystem 中的 Ska. exe和 Ska. d ll兩個文件 ,將 W sock32. ska更名為 W scok32. d ll。512 恢復(fù) w in. in i和 sy stem. in i系統(tǒng)配置文件的原始

12、配置 , 修改注冊表W in. in i以及 System. in i是木馬們喜歡的隱蔽場所 。許多“木馬 ”會將 w in. in i和 system. in i系統(tǒng)配置文 件修改 ,使之能在系統(tǒng)啟動時加載和運行 。例如名為“A ttackFTP”的木馬就會隱藏在 W in. in i文件中 。我們清除它就要先打開 w in. in i文件 ,在 W INDOW S 下面有 load = w scan. exe刪除 w scan. exe,正確是 load = 。保 存退出 w in. in i。然后再打開注冊表 R eged it點擊目錄至 : H KEY_LOCAL _MACH IN E

13、 SO FTWAR E M ic ro soft W indow s Cu rren tV e rsion R un刪除右邊的 R em inde r =“w scan. exe / s”關(guān)閉 R eged it,重新啟動到 M SDO S系統(tǒng) 中刪除 C: w indow s system w scan. exe。513 停止可疑的系統(tǒng)進程木馬程序在運行時都會在系統(tǒng)進程中留下痕跡 。通過查看系統(tǒng)進程可以發(fā)現(xiàn)運行的木馬程序 ,在對木 馬進行清除時 ,首先要停掉木馬程序的系統(tǒng)進程 ,再進行下一步操作 ,修改注冊表和清除木馬文件 。514 使用殺毒軟件和木馬專殺工具進行查殺常用的殺毒軟件包括 KV

14、 3000、瑞星 、諾頓等 ,這些軟件對“木馬 ”的查殺是比較有效的 ,但一定要實時更 新病毒庫 ,對于一些特殊的“木馬 ”查殺不徹底 ,在系統(tǒng)重新啟動后還會自動加載 ,可以使用 The C leane r、木馬克星 、木馬終結(jié)者等木馬專殺工具進行查殺 。參考文獻 : 1 2 3 4 5 魯遠 ,程波財 . 特洛伊木馬的防范策略 J . 計算機與現(xiàn)代化 , 2003 ( 5) : 64.韓筱卿 ,王建鋒 ,鐘瑋 . 計算機病毒分析與防范大全 M . 北京 :電子工業(yè)出版社 , 2006.劉晨 ,張濱 . 黑客與網(wǎng)絡(luò)安全 M . 北京 :航空工業(yè)出版社 , 1999. 趙泉 . 網(wǎng)絡(luò)安全與電子商

15、務(wù) M . 北京 :清華大學(xué)出版社 , 2005. 蔡立軍 . 計算機網(wǎng)絡(luò)安全技術(shù) M . 北京 :中國水利水電出版社 , 2004.責任編輯 :鐘 聲Ana lysis on character istics of“Trojan House”v irus and its preven tion m ea suresCH EN G Gu i2ling( Comp u te r D ep a rtm en t, J ilin B u sine ss and Techno logy Co llege, Changchun 130062 , Ch ina)A b stra c t: W ith th

16、e deve lopm en t of info rm a tion techno logy, the In te rne t ha s becom e ind isp en sab le p a rt in p eop les life. W h ile exp e rien2c ing the benefits of info rm a tion in te rchange and re sou rce2sha ring tha t the In te rne t b rings, va riou s viru s a ttack s becom e the mo st bo ring p rob lem s fo r comp u te r u se rs. “Tro jan Ho rse”viru s is one of the mo st ramp an t viru se s recen tly. Th is a rtic le ana lyze s th