木马病毒是计算机黑客用于
远程控制计算机的程序,将
控制程序寄生于被控制的
计算机系统中,
里应外合,对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。
含义
计算机木马病毒是指隐藏在正常程序中的一段具有特殊功能的
恶意代码,是具备破坏和
删除文件、发送密码、记录键盘和攻击Dos等特殊功能的
后门程序。
木马程序表面上是无害的,甚至对没有警戒的用户还颇有吸引力,它们经常隐藏在游戏或
图形软件中,但它们却隐藏着恶意。这些表面上看似友善的程序运行后,就会进行一些非法的行动,如删除文件或对硬盘格式化。
完整的木马程序一般由两部分组成:一个是服务器端.一个是控制器端。“中了木马”就是指安装了木马的
服务器端程序,若你的电脑被安装了服务器端程序,则拥有相应客户端的人就可以通过
网络控制你的电脑。为所欲为。这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了。
发展历程
木马程序
技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经历了六代的改进:
第一代,是最原始的木马程序。主要是简单的密码窃取,通过
电子邮件发送信息等,具备了木马最基本的功能。
第二代,在技术上有了很大的进步,
冰河是中国木马的典型代表之一。
第三代,主要改进在
数据传递技术方面,出现了
ICMP等类型的木马,利用畸形报文传递数据,增加了
杀毒软件查杀识别的难度。
第四代, 在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在
Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和
蜜蜂大盗是比较出名的
DLL木马。
第五代,
驱动级木马。
驱动级木马多数都使用了大量的
Rootkit技术来达到在深度隐藏的效果,并深入到
内核空间的,感染后针对
杀毒软件和网络防火墙进行攻击,可将系统
SSDT初始化,导致
杀毒防火墙失去效应。有的
驱动级木马可驻留BIOS,并且很难查杀。
第六代,随着
身份认证UsbKey和
杀毒软件主动防御的兴起,
黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户
敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。
原理
木马病毒通常是基于
计算机网络的,是基于客户端和
服务端的通信、
监控程序。客户端的程序用于黑客远程控制,可以发出控制命令,接收服务端传来的信息。服务端程序运行在被控计算机上,一般隐藏在被控计算机中,可以接收客户端发来的命令并执行,将客户端需要的信息发回,也就是常说的木马程序。
木马病毒可以发作的
必要条件是客户端和
服务端必须建立起
网络通信,这种通信是基于
IP地址和
端口号的。藏匿在服务端的木马程序一旦被触发执行,就会不断将通信的IP地址和端口号发给客户端。客户端利用服务端木马程序通信的IP地址和端口号,在客户端和服务端建立起一个
通信链路。客户端的黑客便可以利用这条通信链路来控制服务端的计算机。
运行在服务端的木马程序首先隐匿自己的行踪,伪装成合法的通信程序,然后采用修改系统
注册表的方法设置触发条件,保证自己可以被执行,并且可以不断监视注册表中的相关内容。发现自己的注册表被删除或被修改,可以自动修复。
种类
一、网游木马
随着网络在线游戏的普及和升温,中国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游账号密码为目的的木马病毒也随之发展泛滥起来。
网络游戏木马通常采用记录用户
键盘输入、Hook游戏进程
API函数等方法获取用户的密码和账号。窃取到的信息一般通过发送
电子邮件或向远程
脚本程序提交的方式发送给木马作者。网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的
木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
二、网银木马
网银木马是针对
网上交易系统编写的木马
病毒,其目的是盗取用户的卡号、密码,甚至
安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。
网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全
薄弱环节编写
病毒程序。2013年,
安全软件电脑管家截获网银木马最新变种“弼马温”,
弼马温病毒能够毫无痕迹的修改支付界面,使用户根本无法察觉。通过不良网站提供假
QVOD下载地址进行广泛传播,当用户下载这一
挂马播放器文件安装后就会中木马,该病毒运行后即开始监视用户
网络交易,屏蔽
余额支付和
快捷支付,强制用户使用
网银,并借机篡改订单,盗取财产。
随着中国
网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
三、下载类
这种木马程序的体积一般很小,其功能是从网络上下载其他病毒程序或安装
广告软件。由于体积很小,下载类木马更容易传播,
传播速度也更快。通常功能强大、体积也很大的后门类病毒,如“灰鸽子”、“黑洞”等,传播时都单独编写一个小巧的下载型木马,用户中毒后会把后门主
程序下载到本机运行。
四、代理类
用户感染代理类木马后,会在本机开启HTTP、
SOCKS等
代理服务功能。黑客把受感染计算机作为跳板,以被感染用户的身份进行黑客活动,达到隐藏自己的目的。
五、FTP木马
FTP型木马打开被控制计算机的21号端口(FTP所使用的默认端口),使每一个人都可以用一个FTP客户端程序来不用密码连接到受控制端计算机,并且可以进行最高权限的上传和下载,窃取
受害者的
机密文件。新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进入对方计算机。
六、通讯软件类
常见的即时通讯类木马一般有3种:
(1)发送消息型
通过即时通讯软件自动发送含有
恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告,如“
武汉男生2005”木马,可以通过MSN、
QQ、
UC等多种聊天软件发送带毒网址,其主要功能是盗取传奇游戏的账号和密码
(2)盗号型
主要目标在于即时通讯软件的登录账号和密码。工作原理和网游木马类似。
病毒作者盗得他人账号后,可能偷窥聊天记录等隐私内容,在各种通讯软件内向好友发送
不良信息、
广告推销等语句,或将账号卖掉赚取利润。
(3)传播自身型
2005年初,“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后,MSN推出新版本,禁止用户传送
可执行文件。2005年上半年,“
QQ龟”和“QQ
爱虫”这两个国产
病毒通过QQ聊天软件发送自身进行传播,感染
用户数量极大,在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析,发送文件类的QQ蠕虫是以前发送消息类
QQ木马的进化,采用的
基本技术都是搜寻到聊天窗口后,对聊天窗口进行控制,来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。
七、网页点击类
网页点击类木马会恶意模拟用户
点击广告等动作,在短时间内可以产生数以万计的
点击量。病毒作者的编写目的一般是为了赚取高额的
广告推广费用。此类病毒的技术简单,一般只是向服务器发送HTTP GET请求。
特征
(1)隐蔽性。
木马病毒可以长期存在的主要因素是它可以隐匿自己,将自己伪装成合法
应用程序,使得用户难以识别,这是木马病毒的首要也是重要的特征。与其它病毒一样,这种隐蔽的期限往往是比较长的。经常采用的方法是寄生在合法程序之中、修改为合法
程序名或图标、不产生任何图标、不在进程中显示出来或伪装成
系统进程和与其它合法
文件关联起来等。
(2)欺骗性。
木马病毒隐蔽的主要手段是欺骗.经常使用伪装的手段将自己合法化。例如,使用合法的
文件类型后缀名“dll、sys,ini’'等;使用已有的合法
系统文件名,然后保存在其它
文件目录中;使用容易混淆的字符进行命名,例如字母“o”与数字“0”,数字“1”与字母“i”。
(3)顽固性。
木马
病毒为了保障自己可以不断蔓延,往往像毒瘤一样驻留在被感染的计算机中,有多份
备份文件存在,一旦
主文件被删除,便可以马上恢复。尤其是采用文件的关联技术,只要被关联的程序被执行,木马病毒便被执行,并生产新的木马程序,甚至变种。顽固的木马病毒给木马清除带来巨大的困难。
木马病毒的危害性是毋庸置疑的。只要计算机被木马病毒感染,别有用心的黑客便可以任意操作计算机,就像在本地使用计算机一样,对被控计算机的破坏可想而知。黑客可以恣意妄为,可以盗取系统的重要资源,例如:系统密码、股票交易信息.机要数据等。
传播方式
(1)利用下载进行传播,在下载的过程中进入程序,当下载完毕打开文件就将
病毒植入到电脑中;
(2)利用
系统漏洞进行传播,当计算机存在漏洞,就成为木马病毒攻击的对象;
(3)利用邮件进行传播,很多
陌生邮件里面就掺杂了病毒种子,一旦邮件被打开,病毒就被激活;
(5)利用网页进行传播,在浏览网页时会经常出现很多跳出来的页面,这种页面就是病毒驻扎的地方;
伪装方式
鉴于木马病毒的
危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的
抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
1、修改图标
当你在E-MAIL的附件中看到这个图标时,是否会认为这是个
文本文件呢?但是我不得不告诉你,这也有可能是个木马程序,已经有木马可以将木马
服务端程序的图标改成
HTML,TXT,ZIP等各种文件的图标,这有相当大的迷惑性,但是提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
2、捆绑文件
这种伪装手段是将木马捆绑到一个
安装程序上,当安装程序
运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
3、出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
4、定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以很多新式的木马都加入了定制端口的功能,控制端用户可以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断所感染木马类型带来了麻烦。
5、自我销毁
这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的
系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
6、木马更名
安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
危害
木马病毒对计算机的直接破坏方式是改写磁盘,对计算机数据库进行破坏,给用户带来不便。当木马破坏程序后,使得程序无法运行,给计算机的整体运行带来严重的影响。另外一些木马可以通过磁盘的
引导区进行,病毒具有强烈的复制功能,把
用户程序传递给外部链接者。还可以更改磁盘引导区,造成数据形成通道破坏。病毒也通过大量复制抢占
系统资源,对系统
运行环境进行干扰,影响计算机系统
运行速度。
随着互联网事业的发展,木马看中了电子商务,在一些
网络购物上挂一些木马程序,当用户点击时,很容易进入用户系统,当用户使用
网络银行时。通过网上窃取银行的密码,之后盗取用户财务,给计算机用户造成巨大的经济损失。在一些特殊的领域,木马被用做攻击的手段,如政治、军事、金融、交通等众多领域,成为一个没有硝烟的战场,利用木马侵入对方,获取相关信息或者进行破坏。
木马防范
1、检测和寻找木马隐藏的位置
木马侵入系统后,需要找一个安全的地方选择适当时机进行攻击,了解和掌握木马藏匿位置,才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机
操作系统中的
注册表中,还有嵌入在启动文件中,一旦计算机启动,这些木马程序也将运行。
2、防范端口
检查计算机用到什么样的端口,正常运用的是哪些端口,而哪些端口不是正常开启的;了解
计算机端口状态,哪些端口目前是连接的,特别注意这种开放是否是正常;查看当前的
数据交换情况,
重点注意哪些数据交换比较频繁的,是否属于正常数据交换。关闭一些不必要的端口。
3、删除可疑程序
对于非系统的程序,如果不是必要的,完全可以删除,如果不能确定,可以利用一些查杀工具进行检测。
4、安装防火墙
防火墙在
计算机系统中起着不可替代的作用,它保障计算机的数据流通,保护着计算机的安全通道,对数据进行管控可以根据用户需要自定义,防止不必要的数据流通。安装防火墙有助于对
计算机病毒木马程序的防范与拦截。
5、相关部门加强整治木马产业链,完善相应的
法律法规现阶段,我国存在着一些专业的服务集团,这些集团的存在可以组成一条比较完善的木马产业链。相对于
社会安全法律,针对计算机安全的企管科,也应该受到有关部门和主体的重视与管理,需要建立对应的健全的法律措施。在2017年,我国计算机受到恶意感染的数量减少了百分之二十六,移动互联网
恶意程序的数量也逐渐呈现出一种下降的趋势。正是由于《网络安全法》的实施,在一定程度上抑制了恶意程序的扰民问题,该法律法规的颁布,从网络的角度来看,强化了一些基础性网络设施的建设。因此,互联网环境下,必须依靠
全产业链的合作,强化每一条生产线上的管理工作,让《网络安全法》能够发挥出它应有的价值。
6、健全网站和网络游戏的管理
网站和网络游戏开发商要加大对于网站和网络游戏的管理与监督,争取从源头上就阻止木马病毒,让它没有扩散的机会,这是防范
网页病毒和网络游戏的主要方式之一。另外,
网络环境的和设备的
日常维护、维修、管理工作都要加强,内容包括网站的服务器每日检查,服务器内的数据和资料进行更新,操作、行为日志的核查等工作过,还需要对服务器的
网络配置、安全配置等情况进行严格的检查等。
7、增加网民的防范意识
我国计算机用户正在快速的增长,部分用户对于自身信息的保护意识不强,大部分用户的计算机上都没有安装一些
杀毒软件,或者是设置防火墙。他们应该深刻的意识到反病毒是一项长期且系统性的工作,主动了解这方面的相关知识,提高对于木马病毒的防范措施。针对网站中携带的病毒问题,用户还可以利用防火墙在木马盗取
用户账号、隐私之前,就将其拦截并歼灭。