淺析木馬侵襲及清除方法

姜小妹 方芳

摘要隨著計算機使用的不斷增加，計算機病毒也越來越受到人們的重視。本文對木馬病毒入侵進行了分析，并提出了清除木馬的方法。

關鍵詞木馬入侵清除

隨著社會信息化技術的發展，網絡已成為人們生活中不可缺少的部分。人們在工作、學習和業余等時間運用電腦，在感受網絡帶來益處的同時，各種各樣的病毒也讓使用者頭痛不已，木馬病毒就是其中一種。有的黑客會利用木馬來盜取計算機用戶的隱私去謀取利益，這給人們的生活帶來了巨大的損失和危害。木馬是黑客最常用的基于遠程控制的工具，目前比較有名的主要有：“冰河”、“黑洞”、“黑冰”、“Bo2000”等。計算機一旦被木馬病毒侵入，可能會造成信息的丟失、系統的破壞甚至系統癱瘓，所以計算機的安全問題是目前急需解決的問題。

1 木馬病毒

所謂木馬（全稱是特洛伊木馬）是利用計算機程序漏洞侵入后竊取文件的程序，它是一種與遠程計算機之間建立起連接，使遠程計算機能夠通過網絡控制本地計算機的程序。它包含兩部分：服務器和控制器，黑客利用控制器進入運行了服務器（被入侵的電腦）的計算機。運行了程序的服務器，其計算機就會有一個或幾個端口被打開，使黑客可以利用這些打開的端口進入計算機系統。

2 木馬病毒的入侵

木馬入侵計算機，一般都要完成“向目標主機傳播木馬”、“啟動和隱藏木馬”、“建立連接”、“遠程控制”等環節。它的入侵方式主要有：

（1）電子郵件傳播。攻擊者將木馬程序偽裝成郵件的附件發送出去，收件人只要打開附件系統就會感染木馬；（2）網絡下載傳播。一些非正規的網站利用木馬小的特點將木馬捆綁在軟件安裝程序上提供給用戶下載，只要用戶一運行這些程序，木馬就會自動安裝；（3）遠程入侵傳播。黑客通過破解密碼和建立IPC$遠程連接后登錄到主機，將木馬服務端程序復制到計算機中的文件夾，然后通過遠程操作來控制木馬進而達到目的；（4）利用系統漏洞植入。有時候服務器會出現漏洞，黑客便利用這些漏洞將木馬植入計算機。譬如MIME漏洞，因為MIME簡單有效，加上寬帶網的流行，令用戶防不勝防；（5）修改文件關聯。隱蔽是木馬常用的攻擊手段，它們通常采用修改文件打開關聯來達到加載的目的。著名的木馬冰河就是采用這種方式。

3 木馬的檢測

（1）進程和端口檢測。木馬一般是以exe后綴形式的文件存在，因此當木馬的服務器端運行時，一定會出現在進程中。查看端口的方法一般有三種：使用Windows本身自帶netstat的工具，命令是C:> netstat -an ；使用Windows命令行工具fport，命令是E:software>Fport.exe ；使用圖形化界面工具Active Potrs，這個工具可以監視到計算機所有打開的TCP/IP/UDP端口，還可以顯示所有端口所對應程序的所在的路徑。

（2）檢查Win.ini和System.ini系統配置文件。在win.ini文件中，[WINDOWS]下面如果“Run=”和“Load=”等號后面結果不是空的，很可能是計算機中了木馬病毒。在System.ini文件中，[BOOT]下面“shell= 文件名”，如果不是“shell=Explorer.exe”，也很可能是中了木馬病毒。

（3）查看啟動程序。如果木馬自動加載的文件是直接通過Windows菜單上自定義添加的，一般都會放在主菜單的“開始->程序->啟動”處。檢查是否有可疑的啟動程序，便很容易查到是否中了木馬。

（4）檢查注冊表。注冊表中木馬一旦被加載，一般都會被修改。一般情況修改HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN, HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN SERVICES,HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN。目錄下，查看有沒有不熟悉的擴展名為EXE的自動啟動文件。

（5）使用檢測軟件。除了手工檢測木馬外，還可以通過各種殺毒軟件、防火墻軟件和各種木馬查殺工具等檢測木馬。

4 木馬病毒的清除

檢測到計算機中了木馬后，馬上將計算機與網路斷開，然后根據木馬的特征來進行清除。清除方法有：

（1）停止可疑的系統進程。木馬程序在運行時會在系統進程中留下痕跡，通過查看系統進程可以發現運行的木馬程序。清除木馬時，首先停止木馬程序的系統進程，其次修改注冊表，最后清除木馬文件。

（2）用木馬的客戶端程序清除。查看系統啟動程序和注冊表是否存在可疑的程序后，判斷是否中了木馬，如果存在木馬，則查出木馬文件并刪除外，同時將木馬自動啟動程序刪除。

（3）殺毒軟件和查殺工具。木馬程序大部分都是利用操作系統的漏洞將木馬加載到系統中，利用較好較新的殺毒軟件加上補丁程序，可自動清除木馬程序。常用殺毒軟件包括Kill3000、瑞星、木馬終結者等。

（4）手工清除。在不知道木馬屬于何種程序的情況下應用手工清除，打開系統配置實用程序對Win.ini、System.ini進行編輯，在Win.ini中將“Run=文件名”或“Load=文件名”更改為“Run= ”或“Load= ”， 在System.ini中將“Shell=文件名”更改為“Shell=Explorer.exe”，屏蔽非法啟動項，用Regedit打開注冊表的鍵值及注冊項的默認值或正常值，刪除木馬。

5 QQ卓越木馬的查殺程序設計

掌握了木馬的入侵和檢測等相關知識后，我們做了一個針對QQ卓越木馬的殺毒程序。整個程序的查殺毒流程如圖1所示。

該程序查殺過程，首先掃描內存，接著是系統目錄，然后注冊表，最后對硬盤進行掃描。

內存中掃描木馬進程主要用到了自定義函數FindProcByName，進程掃描開始及結束都會在狀態欄及查殺結果欄中顯示相應信息。自定義函數FindProcByName應用CreateToolhelp32Snapshot獲取進程快照，若列表中有進程存在，用Process32First獲取第一個進程的信息，若進程文件名與木馬進程名字相同，則記錄木馬EXE程序同時記錄木馬DLL的程序并把他們添加到查殺列表，循環比較列表中的每個進程。若停止的話就直接跳出殺毒程序。內存掃描完之后，如果發現內存中有卓越QQ木馬時，找到該木馬程序的執行程序所在目錄，并檢測此目錄下有沒有木馬文件，若有則進行查殺。

接著掃描注冊表。主要查看系統及用戶啟動項的Run鍵值下是否有卓越QQ木馬鍵值，若有將其刪除，同時將木馬計數器TrojanCnt及注冊表木馬計數器RegTrojanCnt加一。然后查看是否有木馬文件，若有木馬文件，根據卓越QQ木馬鍵值找到其真實路徑，將其.exe及.dll程序添加到查殺列表，掃描并中止該木馬進程后再刪除木馬文件。

最后掃描硬盤。要對硬盤進行木馬查殺，找到文件，經判斷如果為病毒文件，將木馬計數器及硬盤木馬計數器加一，然后將檢測結果在查殺結果中顯示出。用自定義函數Length，Copy、ScanDir、CompareFileNames可以實現。

6 結束語

木馬病毒不僅種類豐富，而且在運行過程中會不斷進化。了解病毒的基本特性，有助于用戶查殺病毒，因此安裝好殺毒軟件和相應查殺木馬的工具，做好系統補丁升級，同時用戶應提高警覺，預先采用防護措施并從技術和管理兩個方面入手，完善安全防護體系，這樣才能最大程度上減少病毒給廣大計算機用戶帶來的危害。