木馬就是壹種可執行的程序,和平時用到的軟件壹樣,只不過它所實現的功能與正常軟件有所區別,主要就是體積小,隱藏性好,有些具有感染性等,最主要的功能就是用來遠程控制或竊密等,簡言之,就是黑客為了實現特定的目的編寫的應用程序。
2.木馬實例:
(1)阿拉QQ大盜:中馬後會在指定的時間內強行關閉妳的QQ號碼,當妳再次登陸時,妳的號碼和密碼就會被木馬攔截並發送到木馬制造者指定的信箱或是網頁處理程序上。
(2)灰鴿子:中馬後對方可以完全控制妳的電腦,可以下載妳所有的文件,監控妳的屏幕,強行開啟妳的攝像頭,格式化妳的硬盤,把妳的電腦設為代理服務器作為跳板攻擊它人電腦來栽贓嫁禍!總之就是可以把妳的電腦當成自己的電腦來用,還要以用來盜取錢財,比如可以利用妳的ADSL賬號消費,用來買網絡物品比如QQ幣等。
3.中木馬的方式
(1)妳直接下載或是接收別人發給妳的木馬文件(可以作了偽裝處理,比如把可執行文件“打扮”成壹張照片),然後妳傻乎乎的運行了它。
(2)壹種可能是妳下載了捆綁了木馬的文件,比如把阿拉QQ大盜與QQ軟件捆綁在下起,當妳下載QQ軟件安裝時,QQ木馬也會在隱藏狀態下運行,妳壹切妳都不會發現有任何的異常。
(3)中了網頁木馬,網頁木馬就是利用計算機的漏洞精心構造的網頁,它的功能就是當妳的計算機有這種漏洞時,妳的漏洞就會被利用並自動下載運行指定的文件,例如WMF網頁木馬,當妳的計算機有WMF漏洞時,打開些種網頁會自動彈出“圖片傳真查看器”,然後自動下載木馬文件到妳的計算機並運行,還有HELP控件漏洞的網頁木馬,打開時會出出MS的幫助文件,然後下載病毒到妳的計算機,當然更厲害的就是像正常網頁壹樣,什麽也不彈出就把病毒植入妳的電腦了。比如冰狐浪子寫的自動下載運行器(不過只能突破XP+SP1以下系統)
4.如何防範木馬
(1)現在大家的防範意識都比較好了,很少有傻X去接收網友發給妳的文件然後去運行它,所以對於第壹種中馬的可能性相對較少,建議大家不要接收網友發給妳的文件,即使是好友(因為有些病毒可以自動發送文件給好友,妳在未確定確是妳的好友發給妳的文件之時請不要接收,應先問明對方)。
補充:如果是發送文件的話,病毒怎麽偽裝也改不了EXE後綴名的特點,所以如果是其它後綴名可以接收,不過利用網頁木馬技術可以把構造壹個任意後綴名的文件發送給別人,這個文件雖然不是木馬本身,但是它確可以自動從指定的網址下載可執行文件,比如WMF後綴名的文件,它看起來只是圖片的壹種格式,和JPG,GIF壹樣,但是如果是黑客構造的病毒,它就會自動下載文件到妳的電腦,(不需要妳打開文件,只要妳打開此文件所在的文件夾妳就中馬了)
(2)針對捆綁的文件,妳最好下載網上的文件時先用捆綁檢測文件查壹下有沒有捆綁附加數據,然後再運行它
(3)對於網頁木馬,這個是傳播木馬最佳的手段了,只要妳打開壹個網頁妳就中馬了,相信這也是大家中毒的最大的可能,它只需要妳的計算機有漏洞和妳打開了旨定的網址這兩個條件,妳就中馬了(關於漏洞,眾所周知MS不停的補啊補,沒有任何人敢說他的電腦沒有任何漏洞,巳知的和未知的),妳可能會懷疑:我沒有上什麽不良網站啊,怎麽也會中毒?答:現在網站入侵技術非常的高明,而現在好多網站的安全意識很低,所以好多網站都被黑客入侵並在主頁上掛了網頁木馬了,包括新浪,網易,搜狐,國家安全小組,中國殺毒網等都有被黑客入侵掛馬的遭遇,那些小網站就更別說了,被人入侵得千瘡百孔!還有壹些論壇的人員利用跨站代碼的FLASH或媒體文件作簽名檔,妳查看此類帖子的時候也會中了網頁木馬。
說了這麽多,現在該說說如何防範了*^_^*
先前我說過,只有利用漏洞網馬才能升效,所以對付網頁木馬最好的手段就是及時給電腦打好補丁,沒有漏洞網馬就無能為力了!!!
電腦木馬查殺大全
常在河邊走,哪有不濕腳?所以有時候上網時間長了,很有可能被攻擊者在電腦中種了木馬。如何來知道電腦有沒有被裝了木馬呢?
壹、手工方法:
1、檢查網絡連接情況
由於不少木馬會主動偵聽端口,或者會連接特定的IP和端口,所以我們可以在沒有正常程序連接網絡的情況下,通過檢查網絡連情情況來發現木馬的存在。具體的步驟是點擊“開始”->“運行”->“cmd”,然後輸入netstat -an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口,它包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前端口狀態)。通過這個命令的詳細信息,我們就可以完全監控電腦的網絡連接情況。
2、查看目前運行的服務
服務是很多木馬用來保持自己在系統中永遠能處於運行狀態的方法之壹。我們可以通過點擊“開始”->“運行”->“cmd”,然後輸入“net start”來查看系統中究竟有什麽服務在開啟,如果發現了不是自己開放的服務,我們可以進入“服務”管理工具中的“服務”,找到相應的服務,停止並禁用它。
3、檢查系統啟動項
由於註冊表對於普通用戶來說比較復雜,木馬常常喜歡隱藏在這裏。檢查註冊表啟動項的方法如下:點擊“開始”->“運行”->“regedit”,然後檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。
Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看,在該文件的[boot]字段中,是不是有shell=Explorer.exe file.exe這樣的內容,如有這樣的內容,那這裏的file.exe就是木馬程序了!
4、檢查系統帳戶
惡意的攻擊者喜在電腦中留有壹個賬戶的方法來控制妳的計算機。他們采用的方法就是激活壹個系統中的默認賬戶,但這個賬戶卻很少用的,然後把這個賬戶的權限提升為管理員權限,這個帳戶將是系統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制妳的計算機。針對這種情況,可以用以下方法對賬戶進行檢測。
點擊“開始”->“運行”->“cmd”,然後在命令行下輸入net user,查看計算機上有些什麽用戶,然後再使用“net user 用戶名”查看這個用戶是屬於什麽權限的,壹般除了Administrator是administrators組的,其他都不應該屬於administrators組,如果妳發現壹個系統內置的用戶是屬於administrators組的,那幾乎可以肯定妳被入侵了。快使用“net user用戶名/del”來刪掉這個用戶吧!
如果檢查出有木馬的存在,可以按以後步驟進行殺木馬的工作。
1、運行任務管理器,殺掉木馬進程。
2、檢查註冊表中RUN、RUNSERVEICE等幾項,先備份,記下可以啟動項的地址, 再將可疑的刪除。
3、刪除上述可疑鍵在硬盤中的執行文件。
4、壹般這種文件都在WINNT,SYSTEM,SYSTEM32這樣的文件夾下,他們壹般不會單獨存在,很可能是有某個母文件復制過來的,檢查C、D、E等盤下有沒有可疑的.exe,.com或.bat文件,有則刪除之。
5、檢查註冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的幾項(如Local Page),如果被修改了,改回來就可以。
6、檢查HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個常用文件類型的默認打開程序是否被更改。這個壹定要改回來。很多病毒就是通過修改.txt文件的默認打開程序讓病毒在用戶打開文本文件時加載的。
二、利用工具:
查殺木馬的工具有LockDown、The Clean、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等,其中有些工具,如果想使用全部功能,需要付壹定的費用,木馬分析專家是免費授權使用。