木馬的共性及其防范

摘要： 特洛伊木馬是當前的一種主流入侵程序，其危害遠比其它病毒要高。一臺計算機，特別是存放著敏感材料的計算機一旦被植入了木馬，其損失是無法估量的。本文對當前的主流木馬進行了共性分析，并提出了相應的防范策略。

關鍵詞： 木馬 端口 自啟動 共性

特洛伊木馬，簡稱木馬，是指這樣一種計算機程序：它們通常偽裝成一個正常的程序進入用戶的計算機中，并以欺騙的方式誘使用戶運行，然后潛伏在被入侵的計算機中，竊取敏感資料，伺機將竊取的資料發送給木馬客戶端持有者，或控制被入侵的計算機。一臺機器如果被植入了木馬程序，其損失是無法估量的。

1 當前木馬的概況

隨著互聯網技術的迅猛發展，網絡安全問題正日漸凸顯，單純破壞計算機的病毒時代已經一去不復返了，取而代之的是更多具有非法謀利特征的木馬病毒。木馬病毒不但會破壞用戶的計算機和數據，它們更多的是竊取用戶機器中的敏感資料，在為木馬的控制者非法謀利的同時，給用戶造成更大的傷害。

1.1木馬病毒的特點及危害

木馬病毒的兩個顯著特點是竊取內容和遠程控制。就是說，木馬具有遠程控制計算機系統以及捕獲用戶的屏幕、每一次擊鍵、用戶資料等的能力，這意味著木馬能夠輕松地竊取用戶的密碼、網絡通訊記錄、存儲在計算機中的個人材料等信息。如果計算機上有麥克風，木馬還可以進行竊聽，如果計算機上連有攝像頭，木馬還可以把它打開進行視頻監視。木馬病毒不但威脅著用戶的計算機，更加嚴重地威脅著用戶的隱私，所以其危害程度遠遠超過其它的普通病毒。

1.2 木馬的發展趨勢

隨著網絡安全技術的不斷提高，木馬也在向更高的級別發展。以前的木馬技術因為其植入方式明顯、隱蔽性差等缺點，已經逐步失去了生存的空間。為了使木馬躲過殺毒軟件的查殺和防火墻，更進一步發揮木馬的侵害性，木馬高手們針對其弱點進行了多方探索和改進。在傳播方式上，通過關聯、QQ聊天、郵件附件、Flash點播、視頻點播等多種方式誘騙用戶點擊下載木馬服務器端；在木馬的隱蔽性上也在大做文章：不產生圖標，隱藏在系統文件夾中，無聲息地啟動，偽裝成系統進程或DLL文件，甚至采用線性技術將木馬服務以線程的方式運行在一個合法進程中間等方法，使得木馬的檢測難度大大增加。

2 木馬的特征

木馬的發展已有多年，種類有上萬種之多，但是木馬的主要目的是相似的，都是為了遠程控制和竊取資料，因而它們存在著很多的共性，總結起來有以下幾個：

2.1 隱蔽性

隱蔽性是木馬的首要特征。木馬程序的目的決定了它們必須長時間悄悄地運行于被入侵的主機中不被發現。木馬的隱蔽性主要體現在以下幾個方面:一、不在系統中產生任何提示性的圖標；二、將自身文件隱藏在系統文件夾中，并命名成與系統文件極相似的名字；三、悄無聲息地啟動，并在任務管理器中隱形或直接以線程方式注入到系統進程中；四、偽裝成DLL文件或驅動程序。

2.2 自動運行性

木馬為了能長期控制入侵主機，隨時竊取資料，一般會通過修改注冊表或系統配置文件的方式使被入侵主機在重新啟動后能自動加載木馬程序。最常用的方法是潛入到系統配置文件中，隨系統啟動一起啟動。

2.3 網絡通信

木馬為了遠程控制被入侵主機或竊取資料后要將其傳遞到控制者手中，就必須要通過網絡通信才能完成。

2.4 欺騙性

只有通過各種欺騙手段，木馬的控制者才能將木馬成功地值入被入侵主機中，并使用戶運行木馬客戶端。例如：把木馬服務器與多媒體文件捆綁或添加到網頁超鏈接上。

一個成功的木馬程序必須具備上述四個特征，缺一不可。因此，我們可以利用上述的任何一個特征來防范木馬的入侵。一旦阻止了木馬的上述特征中的某一個的實現，就可以成功阻止木馬的入侵。

3 利用木馬的共性防范木馬

3.1 特征碼檢測技術

特征碼檢測技術是目前木馬檢測所采用的主要技術，即將木馬看做是一種特殊的病毒，提取木馬樣本的特征碼，放到病毒庫中，當查毒時，如果掃描到文件與特征碼符合，則斷定其是木馬程序。特征碼檢測技術對于已知病毒、木馬等惡意代碼非常有效，且檢測速度快，因此現在在殺毒軟件中被廣泛使用。但是特征碼技術也存在一個先天的缺陷，就是對出現的新特征病毒無能為力。

3.2 利用木馬的自啟動特征監控木馬

自動運行性是木馬的一個重要特性，是每一個木馬所必須具備的。此方法正是利用了木馬的這一共有特征來進行檢測。只要從底層對系統啟動文件夾和系統配置文件夾及注冊表中與自啟動相關的目錄進行監控，就是可監控木馬的入侵。這種方法不僅能夠檢測已知的木馬程序，還可以檢測新出現的木馬。

4 防范木馬的幾點建議

4.1 不要輕易相信從任何地方得來的任何文件，打開前一定做好徹底的防毒檢查。

4.2 要經常對操作系統的安全漏洞進行修補和更新，對嚴重的安全漏洞一定要及時修補。

4.3 安裝新版正版殺毒軟件和防火墻，并堅持每天升級。

4.4 上網時注意系統所使用的端口，對1024以上的端口要密切關注。

4.5 存放敏感信息的計算機發現運行情況不對時，要立即斷開網絡連接，然后進行木馬的查殺。

5 小結

本文總結了木馬所必須具備的四個共性，只要能夠監控好其中任何一個特性，都可以阻止木馬程序的入侵。下一步的工作是綜合木馬的這些特性，來進一步研究識別木馬的技術，讓這些害人之馬無處藏身。

參考文獻:

［1］張友生，米安然.計算機病毒與木馬程序剖析［M］.北京:北京科海電子出版社，2003.

［2］宋彥民.檢測和刪除木馬病毒的方法［J］.現代電子技術，2001，24.