木馬病毒的危害與應(yīng)對(duì)

【摘要】隨著科技的不斷進(jìn)步，網(wǎng)絡(luò)環(huán)境呈現(xiàn)多元化發(fā)展，一些網(wǎng)絡(luò)木馬病毒的傳播和感染也發(fā)生了很大的變化。木馬病毒一旦進(jìn)入到目標(biāo)計(jì)算機(jī)后，將面臨數(shù)據(jù)丟失、機(jī)密泄露的危險(xiǎn)，一些重要單位、國(guó)防、外交以及商務(wù)部門(mén)受到木馬病毒入侵的危害會(huì)更大，有時(shí)可能會(huì)危及國(guó)家的存亡。對(duì)于木馬病毒，首先要了解其運(yùn)行原理，然后要防患于未然，當(dāng)木馬病毒入侵時(shí)通過(guò)檢測(cè)進(jìn)行病毒判斷，然后用自動(dòng)或者手動(dòng)的方法進(jìn)行及時(shí)清除。

【關(guān)鍵詞】木馬病毒危害應(yīng)對(duì)

【中圖分類號(hào)】TP309.5 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1674-4810（2014）08-0182-02

一 木馬病毒的危害

隨著科技的不斷進(jìn)步，網(wǎng)絡(luò)環(huán)境呈現(xiàn)多元化發(fā)展，一些網(wǎng)絡(luò)木馬病毒的傳播和感染也發(fā)生了很大的變化，由原先的單一明顯到現(xiàn)在的復(fù)雜隱蔽，而一些單位網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)環(huán)境的變化更是給木馬提供了很好的生存空間。目前木馬已經(jīng)成為網(wǎng)絡(luò)系統(tǒng)入侵的重要手段，計(jì)算機(jī)感染了木馬病毒將面臨數(shù)據(jù)丟失、機(jī)密泄露的危險(xiǎn)，它不是破壞計(jì)算機(jī)的軟硬件這么簡(jiǎn)單，而是通過(guò)植入木馬病毒將竊取計(jì)算機(jī)里面的密碼和資料，甚至進(jìn)行遠(yuǎn)程監(jiān)控、偷窺用戶的隱私等。木馬病毒不僅針對(duì)個(gè)人用戶，同時(shí)一些大型網(wǎng)絡(luò)服務(wù)器也是其入侵對(duì)象，入侵者通過(guò)對(duì)其植入的木馬病毒竊取系統(tǒng)管理員的口令，最終達(dá)到入侵系統(tǒng)目標(biāo)服務(wù)器的目的。因此，一些重要單位、國(guó)防、外交以及商務(wù)部門(mén)受到木馬病毒入侵的危害會(huì)更大，有時(shí)可能會(huì)危及國(guó)家的存亡。

作為一種新型的網(wǎng)絡(luò)病毒，木馬病毒跟普通病毒相比在有關(guān)技術(shù)和功能上存在很大的差異，一般病毒的設(shè)計(jì)主要側(cè)重于隱蔽性和傳播性的實(shí)現(xiàn)，而木馬病毒還要強(qiáng)調(diào)與外界通信、反清除、反識(shí)別能力。所以對(duì)于木馬病毒的防御和清除的難度比較大，要先分析其傳染的原理以及傳播方式，從根本上來(lái)應(yīng)對(duì)木馬病毒的入侵。

二 木馬病毒分析

1.木馬病毒產(chǎn)生背景

計(jì)算機(jī)木馬病毒的產(chǎn)生是計(jì)算機(jī)技術(shù)和社會(huì)信息化進(jìn)程發(fā)展到一定階段的產(chǎn)物，它產(chǎn)生的背景是：（1）作為計(jì)算機(jī)犯罪的新型方式，它取證困難、風(fēng)險(xiǎn)小、破壞大，具有動(dòng)態(tài)性、隨機(jī)性和瞬時(shí)性等特點(diǎn)。（2）計(jì)算機(jī)屬于電子設(shè)備，在輸入、存儲(chǔ)、輸出等環(huán)節(jié)都容易發(fā)生篡改、丟失、偽造和損壞等情況，這些脆弱性使得木馬病毒入侵十分方便。（3）涉密信息系統(tǒng)中局域網(wǎng)的建設(shè)為木馬病毒產(chǎn)生提供了必要的環(huán)境，局域網(wǎng)環(huán)境的復(fù)雜化，為病毒生存提供了最快最好的溫床。

2.木馬病毒的原理

木馬病毒是一種計(jì)算機(jī)黑客用于遠(yuǎn)程控制計(jì)算機(jī)的程序，一旦進(jìn)入就會(huì)駐扎在計(jì)算機(jī)里，隨著計(jì)算機(jī)的運(yùn)行而自動(dòng)運(yùn)轉(zhuǎn)，對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行特殊的操作，一般是竊取密碼和重要文件，對(duì)控制計(jì)算機(jī)實(shí)施監(jiān)控和資料修改等操作。

木馬病毒能正常工作必須由客戶端程序和服務(wù)端程序建立網(wǎng)絡(luò)通信，這種通信是基于IP地址和端口號(hào)的。一般客戶端不是木馬程序，服務(wù)端才是木馬程序，隱藏在服務(wù)端的木馬程序一旦被觸發(fā)，就會(huì)不斷將通信的IP地址和端口號(hào)發(fā)給客戶端，客戶端利用服務(wù)端發(fā)出的信息與服務(wù)端建立一條通信線路，最終通過(guò)這條線路來(lái)控制服務(wù)端的計(jì)算機(jī)。絕大多數(shù)木馬程序的客戶端和服務(wù)端通信協(xié)議使用的是TCP/IP協(xié)議，也有部分使用UDP協(xié)議進(jìn)行通信。

但通常情況下，服務(wù)端的木馬程序首先要隱藏自己的行蹤，偽裝成合法的程序，然后通過(guò)修改注冊(cè)表設(shè)置觸發(fā)條件，保證自己可以被執(zhí)行，一旦發(fā)現(xiàn)自己的注冊(cè)表被修改或刪除就能自動(dòng)修復(fù)。

3.木馬病毒的傳播方式

木馬病毒的傳播方式比較多，主要有：（1）利用下載進(jìn)行傳播，在下載的過(guò)程中進(jìn)入程序，當(dāng)下載完畢打開(kāi)文件就將病毒植入到電腦中；（2）利用系統(tǒng)漏洞進(jìn)行傳播，當(dāng)計(jì)算機(jī)存在漏洞，就成為木馬病毒攻擊的對(duì)象；（3）利用郵件進(jìn)行傳播，很多陌生郵件里面就摻雜了病毒種子，一旦郵件被打開(kāi)，病毒就被激活；（4）利用遠(yuǎn)程連接進(jìn)行傳播；（5）利用網(wǎng)頁(yè)進(jìn)行傳播，在瀏覽網(wǎng)頁(yè)時(shí)會(huì)經(jīng)常出現(xiàn)很多跳出來(lái)的頁(yè)面，這種頁(yè)面就是病毒駐扎的地方；（6）利用蠕蟲(chóng)病毒進(jìn)行傳播等。

三 木馬病毒的應(yīng)對(duì)

1.木馬病毒的防范

第一，木馬病毒檢測(cè)。很多情況下木馬病毒都是基于TCP/IP通訊的客戶端/服務(wù)端結(jié)構(gòu)系統(tǒng)，不同的木馬病毒默認(rèn)打開(kāi)的監(jiān)聽(tīng)端口不同，所以通過(guò)查看電腦上的監(jiān)聽(tīng)端口可以判斷電腦是否中了木馬病毒以及中了何種木馬病毒。通過(guò)端口掃描軟件，可以了解端口使用情況，進(jìn)而來(lái)判斷是否被木馬病毒所控制。同時(shí)，使用端口掃描工具，通過(guò)內(nèi)置的一個(gè)木馬病毒端口列表文件，就能直接掃描電腦是否中了木馬病毒。

第二，木馬病毒防范。對(duì)于木馬病毒，要在它沒(méi)有進(jìn)入系統(tǒng)時(shí)就進(jìn)行適當(dāng)?shù)姆婪?，具體的防范措施有：（1）安裝最新的殺毒軟件，特別是帶有木馬病毒攔截功能的殺毒軟件，如金山毒霸、360安全衛(wèi)士、諾頓和瑞星等。當(dāng)安裝完殺毒軟件后，必須打開(kāi)軟件的系統(tǒng)監(jiān)視功能，以便及時(shí)發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)的注冊(cè)表、應(yīng)用進(jìn)程、內(nèi)存等變動(dòng)情況。當(dāng)然還要隨時(shí)對(duì)殺毒軟件進(jìn)行更新，以保證計(jì)算機(jī)受到保護(hù)；（2）及時(shí)更新系統(tǒng)漏洞補(bǔ)丁，升級(jí)系統(tǒng)軟件和應(yīng)用軟件。軟件在設(shè)計(jì)時(shí)難免會(huì)存在一些安全漏洞，但開(kāi)發(fā)商會(huì)及時(shí)發(fā)現(xiàn)問(wèn)題并進(jìn)行補(bǔ)洞，所以要及時(shí)更新軟件最新版本，提高計(jì)算機(jī)的免疫能力；（3）不要輕易打開(kāi)陌生的電子郵件附件，如果你想打開(kāi)請(qǐng)以純文本方式閱讀郵件；（4）不隨意瀏覽陌生網(wǎng)站，包括一些網(wǎng)絡(luò)電視廣告或者網(wǎng)站聯(lián)盟中的一些廣告條和來(lái)歷不明的網(wǎng)絡(luò)鏈接，因?yàn)檫@些很有可能是木馬病毒的入口。同時(shí)，不要使用未經(jīng)殺毒的軟件下載網(wǎng)站，軟件升級(jí)要使用官方網(wǎng)站提供的升級(jí)包；（5）給電腦安裝防火墻，即使你安裝了殺毒軟件，因?yàn)榉阑饓ο喈?dāng)于電腦的門(mén)衛(wèi)，掌管著系統(tǒng)的各個(gè)端口進(jìn)出的身份驗(yàn)證。

2.木馬病毒的清除

第一，木馬病毒清除難易度評(píng)估。木馬病毒的危害大小和其清除難易程度可以從以下四個(gè)方面來(lái)評(píng)估：（1）易植入性評(píng)估：對(duì)于木馬病毒入侵來(lái)說(shuō)第一件也是非常重要的一件事就是要能夠進(jìn)入到目標(biāo)計(jì)算機(jī)，這就得考驗(yàn)?zāi)抉R病毒的易植入性能力。其中欺騙性和利用系統(tǒng)漏洞是木馬病毒最常見(jiàn)的植入手法，各種小功能軟件就成為木馬病毒經(jīng)常駐扎的地方。同時(shí)，蠕蟲(chóng)技術(shù)與木馬技術(shù)的結(jié)合，也大大提高了木馬病毒的易植入性。（2）隱蔽性評(píng)估：木馬病毒一旦進(jìn)入到目標(biāo)計(jì)算機(jī)以后，就會(huì)在里面駐扎，長(zhǎng)期潛伏而不被發(fā)現(xiàn)。那么對(duì)于木馬病毒清除難易程度，評(píng)估木馬的隱蔽性非常重要。一個(gè)隱蔽性較好的木馬病毒很難被殺毒軟件檢查出來(lái)并且清除掉，這種就必須手動(dòng)清除；但如果隱蔽性較差的木馬病毒就很容易暴露自己，接著被殺毒軟件發(fā)現(xiàn)、清除。所以可以說(shuō)隱蔽性是木馬病毒的生命，如果隱蔽性差，那么這種木馬病毒將變得毫無(wú)價(jià)值。（3）頑固性評(píng)估：當(dāng)木馬病毒被檢測(cè)出來(lái)以后，就要評(píng)估其另一個(gè)重要特性：頑固性。木馬病毒頑固性的評(píng)估主要看這種木馬病毒被檢測(cè)出來(lái)以后首先能不能被殺毒軟件清除，如果殺毒軟件清除不了，再利用手動(dòng)清除仍然無(wú)法一次性清除的木馬病毒，說(shuō)明其頑固性非常強(qiáng)。（4）有效性評(píng)估：有效性評(píng)估是指這種病毒一旦進(jìn)入目標(biāo)計(jì)算機(jī)以后能夠跟其建立某種有效的聯(lián)系，能夠達(dá)到入侵者的目的，控制目標(biāo)計(jì)算機(jī)并竊取想要的信息。一旦這種病毒能快速地與計(jì)算機(jī)達(dá)成聯(lián)系，那說(shuō)明它的有效性很好。

第二，清除木馬方法。（1）自動(dòng)方式：自動(dòng)殺除木馬病毒最簡(jiǎn)單的方法就是安裝殺毒軟件，如當(dāng)下比較流行的查毒軟件瑞星、金山毒霸、360安全衛(wèi)士等，都可以將網(wǎng)絡(luò)中的木馬病毒給刪除。但是木馬病毒的更新速度常?？煊跉⒍拒浖母滤俣龋恍┬碌哪抉R病毒沒(méi)有被殺毒軟件識(shí)別出來(lái)，就有可能危及電腦的程序。所以在這種情況下，就要學(xué)會(huì)手動(dòng)刪除木馬病毒。（2）手動(dòng)方式：手動(dòng)刪除木馬病毒之前還是要先用專業(yè)殺毒軟件、殺木馬病毒軟件進(jìn)行一輪清理，因?yàn)槭謩?dòng)殺毒必須在對(duì)病毒有所了解的情況下，同時(shí)有可能造成系統(tǒng)的損害等意外情況。殺毒前可將殺毒軟件的病毒庫(kù)升級(jí)，了解中了什么病毒。在查殺木馬病毒時(shí)，建議在安全模式下斷開(kāi)網(wǎng)絡(luò)進(jìn)行。

手動(dòng)清除時(shí)首先要做到以下幾點(diǎn)：根據(jù)殺毒軟件提供的路徑找到病毒，并進(jìn)行備份，以防刪除系統(tǒng)文件時(shí)系統(tǒng)損壞；做好注冊(cè)表的備份；在了解是什么病毒情況下用互聯(lián)網(wǎng)查找病毒的特征及清除方法。

使用手動(dòng)清除木馬病毒，建議使用U1-traedit32編輯器查看可疑文件內(nèi)容，查找是否有木馬病毒特征的代碼，以確定文件是否被木馬病毒傳染，發(fā)現(xiàn)傳染病毒的文件就及時(shí)清理，接著使用注冊(cè)表編輯器刪除木馬病毒相關(guān)注冊(cè)表即可。

參考文獻(xiàn)

[1]糜旗、胡麒、宗俊珺.涉密信息系統(tǒng)的防病毒木馬方法[J].兵工自動(dòng)化，2012（10）

[2]吳耀東.互聯(lián)網(wǎng)木馬病毒的分析與防范[J].科技視野，2013（8）

[3]王樹(shù)森、陳平.木馬病毒的攻擊原理與防治策略[J].軟件導(dǎo)刊，2012（6）

[4]朱明、徐騫、劉春明.木馬病毒分析及其檢測(cè)方法研究[J].計(jì)算機(jī)工程與應(yīng)用，2003（28）

[5]吳耀東.互聯(lián)網(wǎng)木馬病毒的分析與防范[J].科技視野，2013（8）

[6]王樹(shù)森、陳平.木馬病毒的攻擊原理與防治策略[J].軟件導(dǎo)刊，2012（6）

〔責(zé)任編輯：李爽〕