計算機網(wǎng)絡(luò)“木馬”病毒特征與查殺

摘要：隨著人類社會生活對Internet需求的日益增長，電腦已完全融入人們文化生活，但網(wǎng)絡(luò)上病毒與木馬的日益猖獗嚴(yán)重影響了Internet及各項網(wǎng)絡(luò)服務(wù)和應(yīng)用，本文主要介紹了木馬病毒的特征和查殺方法。

關(guān)鍵詞：木馬病毒；查殺

計算機及其網(wǎng)絡(luò)在運行中，常會受到人為因素和自然因素的破壞，其中計算機病毒的侵入，使計算機資源受到毀壞、數(shù)據(jù)被替換、盜竊、和丟失。其中被稱為“木馬”的病毒給計算機及其網(wǎng)絡(luò)運行造成的危害尤為嚴(yán)重。

木馬和病毒都是一種人為的程序，都屬于電腦病毒。大家都知道以前的電腦病毒的作用，就是為了搞破壞，破壞電腦里的資料數(shù)據(jù)，有些病毒制造者為了炫耀自己的技術(shù)，有的是為了達到某些目的對客戶進行威懾和敲詐勒索。

“木馬”不一樣，木馬的作用是赤裸裸的偷偷監(jiān)視別人和盜竊別人密碼，數(shù)據(jù)等，如盜竊管理員密碼-子網(wǎng)密碼、偷竊上網(wǎng)密碼、游戲帳號、股票帳號、甚至網(wǎng)上銀行帳戶等。達到偷窺別人隱私和得到經(jīng)濟利益的目的，這就是目前網(wǎng)上大量木馬泛濫成災(zāi)的原因。鑒于木馬的這些巨大危害性和它與早期病毒的作用性質(zhì)不一樣，所以木馬雖然屬于病毒中的一類，但是要單獨的從病毒類型中間剝離出來.獨立的稱之為“木馬”程序。

木馬程序自從出現(xiàn)的第一天起就成為了互聯(lián)網(wǎng)中的一大安全隱患。木馬程序有別于蠕蟲病毒，因為它需要人為的控制和執(zhí)行方能對網(wǎng)絡(luò)安全造成威脅。

傳統(tǒng)木馬都由兩部分組成：客戶端和服務(wù)器端，即C/S(Client/Server)類型。客戶端在本地主機執(zhí)行，用來控制服務(wù)器端。服務(wù)器端在遠(yuǎn)程主機執(zhí)行，一旦執(zhí)行成功，遠(yuǎn)程主機就中了木馬，就可以被控制或者造成其他的破壞。

隨著安全技術(shù)的發(fā)展，個人電腦防病毒軟件和個人電腦防火墻的出現(xiàn)，使得傳統(tǒng)木馬已經(jīng)走到了生存的邊緣，正當(dāng)人們以為可以徹底鏟除木馬的時候，新型木馬問世了。

首先出現(xiàn)的是反彈端口木馬，該木馬與傳統(tǒng)木馬最大的區(qū)別在于服務(wù)端一旦被執(zhí)行，會主動連接客戶端。由于防火墻一般是許出不許進，這樣反彈端口木馬就利用了防火墻這一特點，穿透防火墻。

為了躲避防病毒軟件的查殺，DLL木馬也誕生了。任何一個程序運行都需要調(diào)用自身的DLL程序，由于DLL文件本身是不能執(zhí)行的，所以殺毒軟件不會把它列到查殺范圍當(dāng)中。DLL木馬利用應(yīng)用程序進程都要調(diào)用很多DLL文件這種特點，把自己插入到普通的應(yīng)用程序的進程中，使用戶無法在任務(wù)管理器當(dāng)中發(fā)現(xiàn)木馬的任何蹤跡。所以DLL木馬又被人們稱為無進程木馬，隱蔽性相當(dāng)強。

但是木馬終歸是木馬，它與生俱來的特性是永遠(yuǎn)無法改變的，所以下面給大家介紹幾種木馬的通用解法。

1 發(fā)現(xiàn)木馬

如果大家發(fā)現(xiàn)自己的電腦出現(xiàn)了一些異常，可以利用防病毒軟件進行檢測，但是防病毒軟件在木馬查殺方面功能并不強大，所以大家可以借助手工方式進行檢測。

無論什么木馬，破壞系統(tǒng)必須依賴網(wǎng)絡(luò)，所以我們可以利用“netstat -nao”命令來查看本機當(dāng)前的網(wǎng)絡(luò)連接及使用端命令，打開這臺系統(tǒng)的命令行窗口cmd，在當(dāng)中鍵入“netstat -nao”，就可以看到系統(tǒng)中端口的連接狀態(tài)，其中狀態(tài)顯示為“ESTABLISHED”的，就是當(dāng)前系統(tǒng)正在連接的端口。

查看本機的網(wǎng)絡(luò)連接狀態(tài)

如果用戶認(rèn)為某個連接比較可疑，那么看看該連接后面的PID號，然后再打開“任務(wù)管理器”，查看PID號所對應(yīng)的程序，那么就能很容易的判斷出該進程是否是木馬。

2 結(jié)束木馬進程

如果遇到的是普通木馬，那么用戶可以直接在“任務(wù)管理器”中右擊結(jié)束木馬進程。如果是DLL木馬，我們?nèi)匀恍枰柚鷏istdlls.exe的幫助，在鍵入“l(fā)istdlls -d dll文件名稱”后，即可將DLL進程結(jié)束。

3 還原木馬修改的注冊表鍵值

木馬最喜歡光顧的注冊表鍵值莫過于系統(tǒng)中的文件關(guān)聯(lián)，因為文件關(guān)聯(lián)對系統(tǒng)的影響尤為重要，因為木馬如果關(guān)聯(lián)了一個文件類型，那么用戶一旦打開該類型的文件，木馬就會被執(zhí)行了。例如冰河木馬，會把自身和.txt文件關(guān)聯(lián)，只要有一個.txt文件被打開，木馬就會先執(zhí)行自己，再調(diào)用原來打開.txt文件的程序來打開.txt文件。

同樣，木馬還會把自身與“Exe”文件、“com”文件、“Ini” 文件、“Inf”文件關(guān)聯(lián)。當(dāng)這些文件被打開時，木馬就會先執(zhí)行自己，再調(diào)用原來文件打開程序來打開有關(guān)文件。

4 刪除病毒/木馬啟動項

很多情況下在清除木馬以后，重新啟動計算機，木馬又回來了，其根本原因就是木馬把自己加載到了啟動項當(dāng)中，雖然用戶清除了木馬，但是一旦系統(tǒng)重啟，木馬將再次得到加載，所以我們必須將系統(tǒng)啟動項中的木馬清除干凈。

4.1 系統(tǒng)配置實用程序

就Windows XP為例，我們知道有一個叫作“msconfig”的東西，這個就是“系統(tǒng)配置實用程序”，通過它，我們可以方便地管理一些程序的自啟動信息。打開系統(tǒng)配置實用程序：“開始”>>“運行”，輸入“msconfig”，點擊“確定”打開系統(tǒng)配置實用程序。在“系統(tǒng)配置實用程序”的“啟動”選項頁上我們可以看到有一個啟動程序列表，它們前面的勾表示它們是否在系統(tǒng)啟動時也隨系統(tǒng)同時啟動。一般對于木馬的自啟動項，我們可以在這里將它們前面的勾去掉。

另外，在程序msconfig中其他位置也有可能成為木馬加載自啟動項的地方，如果被木馬修改了，我們一般可以直接修改這里。

4.2 注冊表編輯器

打開注冊表編輯器：“開始”>>“運行”，輸入“REGEDIT”點擊“確定”打開注冊表編輯器，一般木馬會將自己的啟動項加載到注冊表中的HKEY_LOCAL_ MACHINE\\ SOFTWARE\\ Microsoft\\ Windows\\ CurrentVersion\\ Run下，這也是最常見的一個自啟動項位置，對于不明項目的自啟動項，我們一般可以直接刪除。

4.3 木馬修改服務(wù)

這是一種非常隱蔽的啟動方式，木馬把自己注冊為系統(tǒng)服務(wù)，并設(shè)置服務(wù)屬性為“自動”。由于所有屬性為“自動”的服務(wù)都會在開機時被執(zhí)行，木馬當(dāng)然也不例外。在“運行”里輸入services.msc并回車，就可以打開“服務(wù)”窗口，如果發(fā)現(xiàn)其中存在沒有描述的服務(wù)，就需要注意了，該程序多半也是木馬程序。木馬不管未來會如何地發(fā)展，但是它的幾個固有的特性是永遠(yuǎn)不會變的。所以大家找到了一種解決辦法就能夠舉一反三，將其清除。

4.4 除了通過使用“系統(tǒng)配置實用程序”和直接修改系統(tǒng)注冊表的方法來去除木馬病毒的自啟動項外，我們還可以使用一些第三方的小工具來去掉或編輯這些啟動項，比如HijackThis等等。

結(jié)束語

計算機的木馬病毒，會給計算機的應(yīng)用帶來危害，隨著技術(shù)的發(fā)展，計算機殺毒產(chǎn)品的不斷出現(xiàn)、功能的不斷完善、推出速度的不斷加快，在一定程度上保證了計算機及其網(wǎng)絡(luò)的安全運行。但是，還要加強對計算機及其網(wǎng)絡(luò)的管理，如數(shù)據(jù)加密、構(gòu)筑Internet網(wǎng)防火墻，仔細(xì)閱讀日志，及時安裝各種安全補丁程序等，為計算機及其網(wǎng)絡(luò)建立安全環(huán)境，使多種保護類型互相加強，如果一種形式失敗、另一種將繼續(xù)工作，最大限度地減少損害。