計算機網絡“木馬”病毒特征與查殺

摘要：隨著人類社會生活對Internet需求的日益增長，電腦已完全融入人們文化生活，但網絡上病毒與木馬的日益猖獗嚴重影響了Internet及各項網絡服務和應用，本文主要介紹了木馬病毒的特征和查殺方法。

關鍵詞：木馬病毒；查殺

計算機及其網絡在運行中，常會受到人為因素和自然因素的破壞，其中計算機病毒的侵入，使計算機資源受到毀壞、數據被替換、盜竊、和丟失。其中被稱為“木馬”的病毒給計算機及其網絡運行造成的危害尤為嚴重。

木馬和病毒都是一種人為的程序，都屬于電腦病毒。大家都知道以前的電腦病毒的作用，就是為了搞破壞，破壞電腦里的資料數據，有些病毒制造者為了炫耀自己的技術，有的是為了達到某些目的對客戶進行威懾和敲詐勒索。

“木馬”不一樣，木馬的作用是赤裸裸的偷偷監視別人和盜竊別人密碼，數據等，如盜竊管理員密碼-子網密碼、偷竊上網密碼、游戲帳號、股票帳號、甚至網上銀行帳戶等。達到偷窺別人隱私和得到經濟利益的目的，這就是目前網上大量木馬泛濫成災的原因。鑒于木馬的這些巨大危害性和它與早期病毒的作用性質不一樣，所以木馬雖然屬于病毒中的一類，但是要單獨的從病毒類型中間剝離出來.獨立的稱之為“木馬”程序。

木馬程序自從出現的第一天起就成為了互聯網中的一大安全隱患。木馬程序有別于蠕蟲病毒，因為它需要人為的控制和執行方能對網絡安全造成威脅。

傳統木馬都由兩部分組成：客戶端和服務器端，即C/S(Client/Server)類型。客戶端在本地主機執行，用來控制服務器端。服務器端在遠程主機執行，一旦執行成功，遠程主機就中了木馬，就可以被控制或者造成其他的破壞。

隨著安全技術的發展，個人電腦防病毒軟件和個人電腦防火墻的出現，使得傳統木馬已經走到了生存的邊緣，正當人們以為可以徹底鏟除木馬的時候，新型木馬問世了。

首先出現的是反彈端口木馬，該木馬與傳統木馬最大的區別在于服務端一旦被執行，會主動連接客戶端。由于防火墻一般是許出不許進，這樣反彈端口木馬就利用了防火墻這一特點，穿透防火墻。

為了躲避防病毒軟件的查殺，DLL木馬也誕生了。任何一個程序運行都需要調用自身的DLL程序，由于DLL文件本身是不能執行的，所以殺毒軟件不會把它列到查殺范圍當中。DLL木馬利用應用程序進程都要調用很多DLL文件這種特點，把自己插入到普通的應用程序的進程中，使用戶無法在任務管理器當中發現木馬的任何蹤跡。所以DLL木馬又被人們稱為無進程木馬，隱蔽性相當強。

但是木馬終歸是木馬，它與生俱來的特性是永遠無法改變的，所以下面給大家介紹幾種木馬的通用解法。

1 發現木馬

如果大家發現自己的電腦出現了一些異常，可以利用防病毒軟件進行檢測，但是防病毒軟件在木馬查殺方面功能并不強大，所以大家可以借助手工方式進行檢測。

無論什么木馬，破壞系統必須依賴網絡，所以我們可以利用“netstat -nao”命令來查看本機當前的網絡連接及使用端命令，打開這臺系統的命令行窗口cmd，在當中鍵入“netstat -nao”，就可以看到系統中端口的連接狀態，其中狀態顯示為“ESTABLISHED”的，就是當前系統正在連接的端口。

查看本機的網絡連接狀態

如果用戶認為某個連接比較可疑，那么看看該連接后面的PID號，然后再打開“任務管理器”，查看PID號所對應的程序，那么就能很容易的判斷出該進程是否是木馬。

2 結束木馬進程

如果遇到的是普通木馬，那么用戶可以直接在“任務管理器”中右擊結束木馬進程。如果是DLL木馬，我們仍然需要借助listdlls.exe的幫助，在鍵入“listdlls -d dll文件名稱”后，即可將DLL進程結束。

3 還原木馬修改的注冊表鍵值

木馬最喜歡光顧的注冊表鍵值莫過于系統中的文件關聯，因為文件關聯對系統的影響尤為重要，因為木馬如果關聯了一個文件類型，那么用戶一旦打開該類型的文件，木馬就會被執行了。例如冰河木馬，會把自身和.txt文件關聯，只要有一個.txt文件被打開，木馬就會先執行自己，再調用原來打開.txt文件的程序來打開.txt文件。

同樣，木馬還會把自身與“Exe”文件、“com”文件、“Ini” 文件、“Inf”文件關聯。當這些文件被打開時，木馬就會先執行自己，再調用原來文件打開程序來打開有關文件。

4 刪除病毒/木馬啟動項

很多情況下在清除木馬以后，重新啟動計算機，木馬又回來了，其根本原因就是木馬把自己加載到了啟動項當中，雖然用戶清除了木馬，但是一旦系統重啟，木馬將再次得到加載，所以我們必須將系統啟動項中的木馬清除干凈。

4.1 系統配置實用程序

就Windows XP為例，我們知道有一個叫作“msconfig”的東西，這個就是“系統配置實用程序”，通過它，我們可以方便地管理一些程序的自啟動信息。打開系統配置實用程序：“開始”>>“運行”，輸入“msconfig”，點擊“確定”打開系統配置實用程序。在“系統配置實用程序”的“啟動”選項頁上我們可以看到有一個啟動程序列表，它們前面的勾表示它們是否在系統啟動時也隨系統同時啟動。一般對于木馬的自啟動項，我們可以在這里將它們前面的勾去掉。

另外，在程序msconfig中其他位置也有可能成為木馬加載自啟動項的地方，如果被木馬修改了，我們一般可以直接修改這里。

4.2 注冊表編輯器

打開注冊表編輯器：“開始”>>“運行”，輸入“REGEDIT”點擊“確定”打開注冊表編輯器，一般木馬會將自己的啟動項加載到注冊表中的HKEY_LOCAL_ MACHINE\\ SOFTWARE\\ Microsoft\\ Windows\\ CurrentVersion\\ Run下，這也是最常見的一個自啟動項位置，對于不明項目的自啟動項，我們一般可以直接刪除。

4.3 木馬修改服務

這是一種非常隱蔽的啟動方式，木馬把自己注冊為系統服務，并設置服務屬性為“自動”。由于所有屬性為“自動”的服務都會在開機時被執行，木馬當然也不例外。在“運行”里輸入services.msc并回車，就可以打開“服務”窗口，如果發現其中存在沒有描述的服務，就需要注意了，該程序多半也是木馬程序。木馬不管未來會如何地發展，但是它的幾個固有的特性是永遠不會變的。所以大家找到了一種解決辦法就能夠舉一反三，將其清除。

4.4 除了通過使用“系統配置實用程序”和直接修改系統注冊表的方法來去除木馬病毒的自啟動項外，我們還可以使用一些第三方的小工具來去掉或編輯這些啟動項，比如HijackThis等等。

結束語

計算機的木馬病毒，會給計算機的應用帶來危害，隨著技術的發展，計算機殺毒產品的不斷出現、功能的不斷完善、推出速度的不斷加快，在一定程度上保證了計算機及其網絡的安全運行。但是，還要加強對計算機及其網絡的管理，如數據加密、構筑Internet網防火墻，仔細閱讀日志，及時安裝各種安全補丁程序等，為計算機及其網絡建立安全環境，使多種保護類型互相加強，如果一種形式失敗、另一種將繼續工作，最大限度地減少損害。