木马综述篇：通通透透看木马                                            前言                                            　　在我潜意识中说起“木马”马上就联想到三国时期诸葛亮先生发明的木牛流马，当初怎么就想不通它与病毒扯上关系了。经过一番了解，原来它是借用了一个古希腊士兵藏在木马中潜入敌方城市，从而一举占领敌方城市的故事，因为现在所讲的木马病毒侵入远程主机的方式在战略上与其攻城的方式一致。通个这样的解释相信大多数朋友对木马入侵主机的方式所有领悟：它就是通过潜入你的电脑系统，通过种种隐蔽的方式在系统启动时自动在后台执行的程序，以“里应外合”的工作方式，用服务器/客户端的通讯手段，达到当你上网时控制你的电脑，以窃取你的密码、游览你的硬盘资源，修改你的文件或注册表、偷看你的邮件等等。                                            　　一旦你的电脑被它控制，则通常表现为蓝屏然死机；CD-ROM莫名其妙地自己弹出；鼠标左右键功能颠倒或者失灵或文件被删除；时而死机，时而又重新启动；在没有执行什么操作的时候，却在拼命读写硬盘；系统莫明其妙地对软驱进行搜索；没有运行大的程序，而系统的速度越来越慢，系统资源占用很多；用CTRL＋ALT＋DEL调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多等等。                                            　　不过要知道，即使发现了你的机器染上木马病毒，也不必那么害怕，因为木马病毒与一般病毒在目的上有很大的区别，即使木马运行了，也不一定会对你的机器造成危害。但肯定有坏处，你的上网密码有可能已经跑到别人的收件箱里了，这样黑客们就可以盗用你的上网账号上网了！木马程序也是病毒程序的一类，但更具体的被认为黑客程序，因为它入侵的目的是为发布这些木马程序的人，即所谓的黑客服务的。                                            　　本文将就木马的一些特征、木马入侵的一些常用手法及清除方法以及如何避免木马的入侵以及几款常见木马程序的清除四个方面作一些综合说明。                                            木马的基本特征                                            　　木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的，如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序，它们都有以下基本特征：                                            1、隐蔽性是其首要的特征                                            　　如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点，举个例子来说吧，象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧，大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时，客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示，这些黑客们早就想到了方方面面可能发生的迹象，把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面：                                            　　a、不产生图标                                            　　它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可；                                            　　b、木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。                                            2、它具有自动运行性                                            　　它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、sys tem.ini、winstart.bat以及启动组等文件之中。                                            3、木马程序具有欺骗性                                            　　木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。                                            4、具备自动恢复功能                                            　　现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。                                            5、能自动打开特别的端口                                            　　木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”，不知道吧，告诉你别吓着，根据TCP/IP协议，每台电脑可以有256乘以256扇门，也即从0到65535号“门，但我们常用的只有少数几个，你想有这么门可以进，还能进不来？当然有门我们还是可以关上它们的，这我在预防木马的办法中将会讲到。                                            6、 功能的特殊性                                            　　通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。                                            7、黑客组织趋于公开化                                            　　以往还从未发现有什么公开化的病毒组织（也许是我孤陋寡闻），多数病毒是由个别人出于好奇（当然也有专门从事这一职业的），想试一下自己的病毒程序开发水平而做的，但他（她）绝对不敢公开，因为一旦发现是有可能被判坐牢或罚款的，这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织，但应绝对是属于“地下”的。现在倒好，什么专门开发木马程序的组织到处都是，不光存在，而且还公开在网上大肆招兵买马，似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷，黑的手段也越来越高明。我不知道为什么，但据讲其理由是“为了自卫、为了爱国” 。                                            木马入侵的常用手法及清除方法                                            　　虽然木马程序千变万化，但正如一位木马组织的负责人所讲，大多数木马程序没有特别的功能，入侵的手法也差不多，只是以前有关木马程序的重复，只是改了个名而已，现在他们都要讲究效率，据说他们要杜绝重复开发，浪费资源。当然我们也只能讲讲以前的一些通用入侵手法，因为我们毕竟不是木马的开发者，不可能有先知先觉。                                            1、在win.ini文件中加载                                            　　一般在win.ini文件中的[windwos]段中有如下加载项：                                            run=　　 load= ，一般此两项为空，如图1所示。                                            
                                            　　如果你发现你的系统中的此两项加载了任何可疑的程序时，应特别当心，这时可根据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自动运行和加载程序的，如果木马程序加载到这两个子项中之后，那么当你的系统启动后即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序，但你要知道这更是木马利用的好机会，它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数，这个文件名也往往用你常见的文件，如command.exe、sys.com等来伪装。                                            2、在sys tem.ini文件中加载                                            　　我们知道在系统信息文件sys tem.ini中也有一个启动加载项，那就是在[BOOT]子项中的“Shell”项，如图2所示。                                            
                                            图2                                            　　在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名，名称伪装成几乎与原来的一样，只需稍稍改"Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细留意是很难被人发现的，这就是我们前面所讲的欺骗性。当然也有的木马不是这样做的，而是直接把“Explorer”改为别的什么名字，因为他知道还是有很多朋友不知道这里就一定是“Explorer”，或者在“Explorer”加上点什么东东，加上的那些东东肯定就是木马程序了。                                            3、修改注册表                                            　　如果经常研究注册表的朋友一定知道，在注册表中我们也可以设置一些启动加载项目的，编制木马程序的高手们当然不会放过这样的机会的，况且他们知道注册表中更安全，因为会看注册表的人更少。事实上，只要是”Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木马程序加载的入口，如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce]，如图3所示；                                            
                                            图3                                            　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]，如图4所示。                                            
                                            图4                                            　　你只要按照其指定的源文件路径一路查过去，并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了，不过同样要注意木马的欺骗性，它可是最善于伪装自己呵！同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名，如有则立即删除。                                            4、修改文件打开关联                                            　　木马程序发展到了今天，他们发现以上的那些老招式不灵了，为了更加隐蔽自己，他们所采用隐蔽的手段也是越来越高明了（不过这也是万物的生存之道，你说呢？），它们采用修改文件打开关联来达到加载的目的，当你打开了一个已修改了打开关联的文件时，木马也就开始了它的运作，如冰河木马就是利用文本文件（.txt）这个最常见，但又最不引人注目的文件格式关联来加载自己，当有人打开文本文件时就自动加载了冰河木马。                                            　　修改关联的途经还是选择了注册表的修改，它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目，如冰河木马修改的对象如图5所示，                                            
                                            图5                                            　　如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的键值不是“c:\windows\notepad.exe %1”，而是改为“sysexplr.exe %1”。                                            　　以上所介绍的几种木马入侵方式，如果发现了我们当然是立即对其删除，并要立即与网络断开，切断黑客通讯的途径，在以上各种途径中查找，如果是在注册表发现的，则要利用注册表的查找功能全部查找一篇，清除所有的木马隐藏的窝点，做到彻底清除。如果作了注册表备份，最好全部删除注册表后再导入原来的备份注册表。                                            　　在清除木马前一定要注意，如果木马正在运行，则你无法删除其程序，这时你可以重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项，如果你是在木马处于活动时删除该项的话它能自动恢复，这时你可以重启到DOS下将其程序删除后再进入Win9x下将其注册表中的自启动项删除。                                            页                                            　　上面是讲了我们已发现的情况下可以采取这些补救措施，但是一般情况下我们没有那么容易发现它，只好利用专门的杀毒软件来帮助我们进行了。目前专门查杀木马病毒的反木马软件主要有以下几种，我们可以借助它们的功力来铲助木马。目前最常用的反木马程序有：                                            　　a、the cleaner                                            　　目前它的最高版本为3.1 它可在目前主要的windows平台WIN9X/NT/2000中应用，可在http://www.moosoft.com地址中下载。                                            　　这可能是目前最好的反木马的工具了，也是目前查木马数量最多的，它最招人喜爱的地方还有它可以随时自动升级，只要轻点UPDATE按纽即可，不象LOCKDOWN还要查你的密码。绝对是查木马工具的首选。它的实时监控程序TCA，可即时显示当前所有运行程序并有详细的描述信息，是个帮你了解系统的好帮手。                                            　　b、Trojan Remover                                            　　目前的版本为3.3.2，它的应用平台有限，仅为WIN9X，下载地址为：http://www.simplysup.com/tremover，它是一个专门用来清除特洛伊木马和自动修复系统文件的工具，能够检查系统登录文件、扫描WIN.INI、sys tem.INI和系统登录文件，且扫描完成后会产生Log信息文件，并帮你自动清除特洛伊木马和修复系统文件。                                            　　当然还有许多反病毒软件也具有一些反木马的功能，而且功能还可以，如金山毒霸、KILL等，但还是以上两款更专业。                                            如何避免木马的入侵                                            　　谈到这个问题，我真有点害怕讲下去，因为我知道我所讲的这些预防办法那些专门研究木马的黑客早就注意了，或许早就想好了对策，但是不管怎样我相信如果注意了以下几个方面多多少少对阻止木马的入侵有些好处的，特别是对那些入门级的木马！在此先要声明，反木马就象反病毒一样永远没有止境，也永远没有一个百分百的解决方案，因为都是先有木马，然后才有我们反木马的方法和软件，我们始终是个追随者！                                            1、 不要执行任何来历不明的软件                                            　　对于从网上下载的软件在安装、使用前一定要用多几种反病毒软件，最好是专门查杀木马的软件进行检查，确定无毒了再执行、使用。                                            2、不要相信你的邮箱不会收到垃圾和带毒的邮件                                            　　永远不要相信你的邮箱就不会收到垃圾和带毒的邮件，即使从没露过面的邮箱或是ISP邮箱，有些时候你永远没办法知道别人如何得知你的mail地址的。                                            3、不要轻信他人                                            　　不要因为是你的好朋友发来的软件就运行，因为你不能确保他的电脑上就不会有病毒，当然好朋友故意欺骗的可能性不大，但也许他（她）中了黑客程序自己还不知道！同时，网络发展到今天，你也不能保证这一定是你的朋友发给你的，因为别人也可冒名给你发邮件。                                            4、不要随便留下你的个人资料                                            　　特别不要在聊天室内公开你的Email地址。 因为你永远不会知道是否有人会处心积虑收集起你的资料，以备将来黑你！更不要将重要口令和资料存放在上网的电脑里，以防黑客侵入你的电脑盗走你一切“值钱的东东”。                                            5、网上不要得罪人                                            　　在聊天时，永远不要以为网络上谁也不认识谁就出言不逊，这样会不小心得罪某些高人，到时找你开刀。                                            6、不要随便下载软件                                            　　特别是不可靠的小FTP站点、公众新闻级、论坛或BBS上，因为这些地方正是新病毒发布的首选之地。                                            7、最好使用第三方邮件程序                                            　　如Foxmail等,不要使用Microsoft的Outlook程序，因为Outlook程序的安全漏洞实在太多了，况且Outlook也是那些黑客们首选攻击的对象，已经选好了许多攻击入口；                                            8、不要轻易打开广告邮件中附件或点击其中的链接                                            　　因为广告邮件也是那些黑客程序依附的重要对象，特别是其中的一些链接。                                            9、将windows资源管理器配置成始终显示扩展名                                            　　因为一些扩展名为：VBS、SHS、PIF的文件多为木马病毒的特征文件，更有些文件为又扩展名，那更应重点查看，一经发现要立即删除，千万不要打开，只有时时显示了文件的全名才能及时发现。                                            10、尽量少用共享文件夹                                            　　如果因工作等其它原因必需设置成共享，则最好单独开一个共享文件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要系统目录设置成共享！                                            11、给电子邮件加密                                            　　为了确保你的邮件不被其它人看到，同时也为了防止黑客们的攻击，至于电子邮件的加密请参考《令电子邮件安全传递的方法－PGP签名》一文，在那篇文章中向大家推荐了一款加密专家——PGP，相信它一定不会让你失望的！                                            12、隐藏IP地址                                            　　这一点非常重要！！你上网时最好用一些工具软件隐藏你的电脑的IP地址，如使用ICQ，就进入“ICQMenu\Securi-ty&Privacy”，把“IP Publishing”下面的“Do not Publish IP ad-dress”选项上。                                            13、运行反木马实时监控程序                                            　　最后，好是最重要的一点就是你在上网时必需运行你的反木马实时监控程序，如、the cleaner， 它的实时监控程序TCA，可即时显示当前所有运行程序并有详细的描述信息，加外如加上一些专业的最新杀毒软件、个人防火墙进行监控那更是放心了，当然这要你的爱机够档次才行，你说呢？                                            几款常见木马病毒的清除                                            　　为了方便大家及时快捷地查杀你电脑中的现有木马，现向大家介绍几款木马病毒的查杀方法。                                            1.Back Orifice（BO）                                            　 只要检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices中有无.exe键值。如有，则将其删除，并进入MS-DOS方式，将\Windows\sys tem中的.exe文件删除（可运用开始菜单中的“搜索”程序帮助你进行查找这一文件）。                                            2.Back Orifice 2000(BO2000)                                            　 只要检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中有无Umgr32.exe的键值，如有，则将其删除。重新启动电脑，并将\Windows\sys tem中的Umgr32.exe删除。                                            3.Netspy                                            　　检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中有无键值Spynotify.exe和Netspy.exe。如有将其删除，重新启动电脑后将\Windows\sys tem中的相应文件删除。                                            4.Happy99                                            　　此程序首次运行时，会在荧幕上开启一个名为“Happy new year1999”的窗口，显示美丽的烟花，此时该程序就会将自身复制到Windows95/98的sys tem目录下，更名为Ska.exe，创建文件Ska.dll，并修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。                                            　　用户可以检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce中有无键值Ska.exe。如有，将其删除，并删除\Windows\sys tem中的Ska.exe和Ska.dll两个文件，将Wsock32.ska更名为Wscok32.dll。                                            5.Picture                                            　　检查Win.ini系统配置文件中“load=”是否指向一个可疑程序，清除该项。重新启动电脑，将指向的程序删除即可。                                            6.Netbus                                            　　用“Netstat -an”查看12345端口是否开启，在注册表相应位置中是否有可疑文件。首先清除注册表中的Netbus的主键，然后重新启动电脑，删除可执行文件即可。                                            7、冰河                                            　　用纯DOS启动进入系统（以防木马的自动恢复），删除你安装的windows下的sys tem\kernel32.exe和sys tem\sysexplr.exe两个木马文件，注意如果系统提示你不能删除它们，则因为木马程序自动设置了这两个文件的属性，我们只需要打开它们的隐藏、只读属性，方法是键入如下命令：Attrib a h r kernel32.exe或sysexplr.exe即可。                                            　　删除后进入windows系统进入注册表中，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunServices]两项，然后查找kernel32.exe和sysexplr.exe两个键值。再找到[HKEY_CLASSES_ROOT\txtfile\open\command],看在键值中是不是已改为“sysexplr.exe %1”，如是改回"notepad.exe %1” 。                                            8、Asylum                                            　　这个木马程序是修改了sys tem.ini win.ini两个文件，先查一下sys tem.ini文件下面的[BOOT]贡，看看"shell=explorer.exe”，如不是则删除它，用回上面的设置，并记下原来的文件名以便回过头去在纯DOS下删除它。再打开win.ini文件，看在[windows]项下的"run=”是不是有什么文件名，一般情况下是没有任何加载值的，如有记下它以便回过头过在纯DOS下删除相应的文件名。 

作者：yingfeng99【忙碌的影风】                                            ※ 来源: 网易虚拟社区 上海站．