功能
木馬程式就是一個網路上的Client/Server的概念。以下簡單介紹一些木馬程式的功能:
1、遠程監控
可以控制對方的滑鼠、鍵盤和監視對方螢幕。
2、記錄密碼
3、取得電腦主機的信息資料
如果你在電腦用戶賬戶填上真名的話,對方就可能知道你的姓名了。
4、遠程控制
5、傳送信息
其他資料
表現
1.出現與系統現有檔案類似的檔案名稱或進程名。
2.運用msinfo32.exe,發現在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等項中出現不明鍵值。
3.有可疑進程訪問網路。
4.有若干Rundll32.exe進程
識別
1.集成到程式中
其實木馬也是一個伺服器-客戶端程式,它為了不讓用戶能輕易地把它刪除,就常常集成到程式里,一旦用戶激活木馬程式,那么木馬檔案和某一應用程式捆綁在一起,然後上傳到服務端復蓋原檔案,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程式,木馬又會被安裝上去了。綁定到某一應用程式中,如綁定到系統檔案,那么每一次Windows啟動均會啟動木馬。
2.隱藏在配置檔案中
利用配置檔案的特殊作用,木馬很容易就能在大家的計算機中運行、發作,從而偷窺或者監視大家。不過,現在這種方式不是很隱蔽,容易被發現,所以在Autoexec.bat和Config.sys中載入木馬程式的並不多見,但也不能因此而掉以輕心喔。
3.潛伏在Win.ini中
木馬要想達到控制或者監視計算機的目的,必須要運行,然而沒有人會傻到自己在自己的計算機中運行這個該死的木馬。當然,木馬也早有心理準備,知道人類是高智商的動物,不會幫助它工作的,因此它必須找一個既安全又能在系統啟動時自動運行的地方,於是潛伏在Win.ini中是木馬感覺比較愜意的地方。大家不妨打開Win.ini來看看,在它的[windows]欄位中有啟動命令“load=”和“run=”,在一般情況下“=”後面是空白的,如果有後跟程式,比方說是這個樣子:run=c:\windows\file.exeload=c:\windows\file.exe,這個file.exe很可能是木馬喔。
4.偽裝在普通檔案中
這個方法出現的比較晚,不過現在很流行,對於不熟練的windows操作者,很容易上當。具體方法是把執行檔偽裝成圖片或文本----在程式中把圖示改成Windows的默認圖片圖示, 再把檔案名稱改為*.jpg.exe, 由於Win98默認設定是"不顯示已知的檔案後綴名",檔案將會顯示為*.jpg, 不注意的人一點這個圖示就中木馬了。
5.內置到註冊表中
上面的方法讓木馬著實舒服了一陣,既沒有人能找到它,又能自動運行,真是快哉!然而好景不長,人類很快就把它的馬腳揪了出來,並對它進行了嚴厲的懲罰!但是它還心有不甘,總結了失敗教訓後,認為上面的藏身之處很容易找,現在必須躲在不容易被人發現的地方,於是它想到了註冊表!的確註冊表由於比較複雜,木馬常常喜歡藏在這裡快活,趕快檢查一下,有什麼程式在其下,睜大眼睛仔細看了,別放過木馬喔:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。
6.在System.ini中藏身
Windows安裝目錄下的System.ini是木馬喜歡隱蔽的地方。打開檔案看看,它與正常檔案有什麼不同,在該檔案的[boot]欄位中,是不是有這樣的內容,那就是shell=Explorer.exe file.exe,如果確實有這樣的內容,那你就不幸了,因為這裡的file.exe就是木馬服務端程式!另外,在System.ini中的[386Enh]欄位,要注意檢查在此段內的“driver=路徑\程式名”,這裡也有可能被木馬所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]這三個欄位,這些段也是起到載入驅動程式的作用,但也是增添木馬程式的好場所,現在你該知道也要注意這裡嘍。
7.隱形於啟動組中
有時木馬並不在乎自己的行蹤,它更注意的是能否自動載入到系統中,因為一旦木馬載入到系統中,任你用什麼方法你都無法將它趕跑(哎,這木馬臉皮也真是太厚),因此按照這個邏輯,啟動組也是木馬可以藏身的好地方,因為這裡的確是自動載入運行的好場所。動組對應的資料夾為:C:\windows\start menu\programs\startup,在註冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意經常檢查啟動組喔!
8.隱蔽在Winstart.bat中
按照上面的邏輯理論,凡是利於木馬能自動載入的地方,木馬都喜歡呆。這不,Winstart.bat也是一個能自動被Windows載入運行的檔案,它多數情況下為應用程式及Windows自動生成,在執行了Win. com並載入了多數驅動程式之後開始執行(這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由於Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被載入運行,危險由此而來。
9.捆綁在啟動檔案中
即應用程式的啟動配置檔案,控制端利用這些檔案能啟動程式的特點,將製作好的帶有木馬啟動命令的同名檔案上傳到服務端復蓋這同名檔案,這樣就可以達到啟動木馬的目的了。
10.設定在超級連線中
木馬的主人在網頁上放置惡意代碼,引誘用戶點擊,用戶點擊的結果不言而喻:開門揖盜!奉勸不要隨便點擊網頁上的連結。
原理
在Win.ini檔案中,在[WINDOWS]下面,“run=”和“load=”是可能載入“木馬”程式的途徑。一般情況下,它們的等號後面應該什麼都沒有,如果發現後面跟有路徑與檔案名稱不是啟動檔案,計算機就可能中“木馬”了。當然好多“木馬”,如“AOLTrojan木馬”,它把自身偽裝成command.exe(真正的系統檔案為command. com)檔案,如果不注意可能不會發現它不是真正的系統啟動檔案(特別是在Windows視窗下)。
在System.ini檔案中,在下面有個“shell=檔案名稱”。正確的檔案名稱應該是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程式名”,那么後面跟著的那個程式就是“木馬”程式,就是說你已經中“木馬”了。註冊表中的情況最複雜,通過regedit命令打開註冊表編輯器,在點擊至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目錄下,查看鍵值中有沒有自己不熟悉的自動啟動檔案,擴展名為EXE,這裡切記:有的“木馬”程式生成的檔案很像系統自身檔案,想通過偽裝矇混過關,如“AcidBatteryv1.0木馬”,它將註冊表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer鍵值改為Explorer=“C:WINDOWSexpiorer.exe”,“木馬”程式與真正的Explorer之間只有“i”與“l”的差別。當然在註冊表中還有很多地方都可以隱藏“木馬”程式,如:“HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目錄下都有可能,最好的辦法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木馬”程式的檔案名稱,再在整個註冊表中搜尋即可。
危害
危害本機信息安全:木馬程式多數有惡意企圖,例如盜取QQ帳號、遊戲帳號甚至銀行帳號,將本機作為工具來攻擊其他設備等;占用系統資源,降低電腦效能。
措施
(一)木馬查殺
基本能防禦大部分木馬,但是現在的軟體都不是萬能的,還要學點專業知識,有了這些,你的電腦就安全多了。
現在高手也很多,只要你不隨便訪問來歷不明的網站,使用來歷不明的軟體(很多盜版或破解軟體都帶木馬,這個看你自己經驗去區分),如果你都做到了,木馬,病毒。就不容易進入你的電腦了。
(二)刪除木馬病毒
可以下載卡巴斯基(建議先卸載其他防毒軟體)綠鷹PC萬能精靈,也可以下載瑞星防毒軟體(建議先卸載其他防毒軟體)
1.禁用系統還原(Windows Me/XP)
如果您運行的是 Windows Me或 Windows XP,建議您暫時關閉“系統還原”。此功能默認情況下是啟用的,一旦計算機中的檔案被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此,防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其他位置的受感染檔案。
此外,病毒掃描可能還會檢測到 System Restore資料夾中的威脅,即使您已將該威脅刪除。
2.將計算機重啟到安全模式或者 VGA 模式
關閉計算機,等待至少 30 秒鐘後重新啟動到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用戶:將計算機重啟到安全模式。所有 Windows 32-bit 作系統,除了Windows NT,可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。
Windows NT 4 用戶:將計算機重啟到 VGA 模式。掃描和刪除受感染檔案啟動防病毒程式,並確保已將其配置為掃描所有檔案。運行完整的系統掃描。如果檢測到任何檔案被 Download.Trojan 感染,請單擊“刪除”。如有必要,清除 Internet Explorer 歷史和檔案。如果該程式是在 Temporary Internet Files 資料夾中的壓縮檔案內檢測到的,請執行以下步驟:啟動 Internet Explorer。單擊“工具”>“Internet 選項”。單擊“常規”選項卡“Internet 臨時檔案”部分中,單擊“刪除檔案”,然後在出現提示後單擊“確定”。在“歷史”部分,單擊“清除歷史”,然後在出現提示後單擊“是”。
3.關於病毒的危害,Download.Trojan會執行以下作:進入其作者創建的特定網站或 FTP 站點並試圖下載新的特洛伊木馬、病毒、蠕蟲或其組件。完成下載後,特洛伊木馬程式將執行它們。中了木馬不能打開防毒軟體可以用360安全衛士安全啟動來先修復一下。
查殺
一般使用專門的木馬查殺工具來殺除,例如木馬剋星、ewido、費爾托斯特等軟體。
目前的防毒軟體多數也可以查殺大量木馬,但在殺除木馬方面沒有上述軟體更專業,因而推薦兩者配合使用。
對於最新出現的木馬,有時也可以到網路搜尋特定的查殺工具來處理。
知道了“木馬”的工作原理,查殺“木馬”就變得很容易,如果發現有“木馬”存在,最有效的方法就是馬上將計算機與網路斷開,防止黑客通過網路對你進行攻擊。然後編輯win.ini檔案,將[WINDOWS]下面,“run=“木馬”程式”或“load=“木馬”程式”更改為“run=”和“load=”;編輯system.ini檔案,將下面的“shell=‘木馬’檔案”,更改為:“shell=explorer.exe”;在註冊表中,用regedit對註冊表進行編輯,先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木馬”程式的檔案名稱,再在整個註冊表中搜尋並替換掉“木馬”程式,有時候還需注意的是:有的“木馬”程式並不是直接將“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木馬”鍵值刪除就行了,因為有的“木馬”如:BladeRunner“木馬”,如果你刪除它,“木馬”會立即自動加上,你需要的是記下“木馬”的名字與目錄,然後退回到MS-DOS下,找到此“木馬”檔案並刪除掉。重新啟動計算機,然後再到註冊表中將所有“木馬”檔案的鍵值刪除。至此,我們就大功告成了。
途徑
通過郵件附屬檔案、程式下載等形式傳播:不要隨意使用來歷不明的程式,因為可能被修改過含有木馬。
通過偽裝網頁登錄過程,騙取用戶信息進而傳播木馬
通過攻擊系統安全漏洞傳播木馬:大量黑客使用專門的黑客工具來傳播木馬。
出現與系統現有檔案類似的檔案名稱或進程名。
運用msinfo32.exe,發現在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等項中出現不明鍵值。
有可疑進程訪問網路。
有若干Rundll32.exe進程
木馬與病毒的區別:木馬一般不像電腦病毒一樣大量自我繁殖,也並不刻意感染其他程式。病毒程式以大量傳播為樂趣,而木馬程式以侵入特定電腦並獲得許可權為目的。
木馬與adware(惡意廣告軟體)的區別:adware是一類特定的木馬,受廣告發布者控制,在用戶電腦上不斷彈出廣告內容。
木馬與遠程控制程式的區別:遠程控制程式公開、善意地控制其他電腦,以完成某些工作;木馬程式則是潛伏的、惡意的程式。
會想盡一切辦法隱藏自己,主要途徑有:在系統列中隱藏自己,這是最基本的辦法。只要把Form的Visible屬性設為False,ShowInTaskBar設為False,程式運行時就不會出現在系統列中了。在任務管理器中隱形:將程式設為“系統服務”可以很輕鬆地偽裝自己。當然它也會悄無聲息地啟動,黑客當然不會指望用戶每次啟動後點擊“木馬”圖示來運行服務端,“木馬”會在
每次用戶啟動時自動裝載。Windows系統啟動時自動載入應用程式的方法,“木馬”都會用上,如:啟動組、Win.ini、System.ini、註冊表等都是“木馬”藏身的好地方。
相關常識
什麼是特洛伊木馬
古希臘傳說,特洛伊王子帕里斯訪問希臘,誘走了王后海倫,希臘人因此遠征特洛伊。圍攻9年後,到第10年,希臘將領奧德修斯獻了一計,就是把一批勇士埋伏在一匹巨大的木馬腹內,放在城外後,佯作退兵。特洛伊人以為敵兵已退,就把木馬作為戰利品搬入城中。到了夜間,埋伏在木馬中的勇士跳出來,打開了城門,希臘將士一擁而入攻下了城池。後來,人們在寫文章時就常用“特洛伊木馬”這一典故,用來比喻在敵方營壘里埋下伏兵裡應外合的活動盜密報卡解綁過程:
登入的時候通過木馬盜取玩家的密碼,並且用盜取的密碼進入密碼保護卡解除綁定的網頁頁面,在通過木馬把玩家登入時候的三個密碼保護卡數換成密碼保護卡解綁需要的三個數,1次就能騙到密碼保護卡解除綁定需要的三個數了,再解除綁定,玩家的帳號就跟沒密碼保護卡一樣.電話密碼保護也一樣,玩家打了電話,然後登入的時候通過木馬讓玩家不能連線伺服器並盜取玩家的密碼,然後盜取賬號者就2分內可以上去了盜取玩家財產。
反擊盜取賬號者措施
1.設定角色密碼(可結合密碼保護卡),
2.設定背包密碼,背包分二部分(G也分2部份,1大額,1小額),一部分需要密碼(可以放重要的財產),一部分不要密碼(放置常用物品),可結合密保卡。
3,裝備欄設定密碼保護卡,上線後需要輸入密保卡解除裝備欄的密報卡數,才能使用技能 ,如果不解除綁定,不能使用技能並且無法交易。
4,倉庫通過密碼打開後,與背包相同。
5,設定退出密碼,輸入退出密碼正常才能下線,非正常下線5分內不能登入。
6 設定下次登入地點,玩家下線時可以選者下次登入的IP段(以市為單位,不在IP段裡面的IP,不能登入 )
6 計算機綁定,對於有計算機的玩家可以綁定CPU編號,這點某些防毒軟體有這個技術,你們估計也有這技術。
7,上述六點可結合密碼保護卡,並且可以設定多張密碼保護卡,登入界面一張密碼保護卡,角色界面一張密碼保護卡,背包一張密碼保護卡,倉庫一張密碼保護卡,退出登錄一張密碼保護卡。補充:密保卡可隨自己意願綁定,但是追號大於等於2,背包,倉庫等可以用同1張密保卡(最好不和登入用同1張),關於手機密保可改為,登入時不需打手機,登入後所有物品全部無法交易出售,無法發言,在登入後打手機才可解除,可防止手機密保在登入界面被木馬利用
8,加強遊戲本身防木馬能力。可以和防毒軟體公司合作設定一款專門用於魔獸的防毒軟體
9,加入網咖IP段保護
如何自動載入
在Win.ini檔案中,在[WINDOWS]下面,“run=”和“load=”是可能載入“木馬”程式的途徑,必須仔細留心它們。一般情況下,它們的等號後面應該什麼都沒有,如果發現後面跟有路徑與檔案名稱不是你熟悉的啟動檔案,你的計算機就可能中“木馬”了。當然你也得看清楚,因為好多“木馬”,如“AOLTrojan木馬”,它把自身偽裝成command.exe(真正的系統檔案為command. com)檔案,如果不注意可能不會發現它不是真正的系統啟動檔案(特別是在Windows視窗下)。
在System.ini檔案中,在下面有個“shell=檔案名稱”。正確的檔案名稱應該是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程式名”,那么後面跟著的那個程式就是“木馬”程式,就是說你已經中“木馬”了。註冊表中的情況最複雜,通過regedit命令打開註冊表編輯器,在點擊至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目錄下,查看鍵值中有沒有自己不熟悉的自動啟動檔案,擴展名為EXE,這裡切記:有的“木馬”程式生成的檔案很像系統自身檔案,想通過偽裝矇混過關,如“AcidBatteryv1.0木馬”,它將註冊表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer鍵值改為Explorer=“C:WINDOWSexpiorer.exe”,“木馬”程式與真正的Explorer之間只有“i”與“l”的差別。當然在註冊表中還有很多地方都可以隱藏“木馬”程式,如:“HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目錄下都有可能,最好的辦法就是在“HKEY-
LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木馬”程式的檔案名稱,再在整個註冊表中搜尋即可。
