互联网木马病毒的分析与防范

作者： 吴耀东

来源：《科技视界》 2013年第8期

吴耀东

（工程学院， 乌鲁木齐 830091）

【摘 要】随着互联网的不断发展，网上应用服务日益增多，普通用户对互联网的依赖越来越强烈，但随之而来的却是网络安全的日趋严峻。用户上网丢失账号和信息泄漏的事件层出不穷，各种木马和病毒肆意横行，如果用户不小心浏览了挂有木马病毒的网站，则可能会带来极大的危害。

【关键词】木马病毒；分析；防范；查杀

０ 引言

2012年安全中心针对中国互联网安全状况进行统计显示，2012年截获新增木马病毒等恶意程序样本13.7亿个，拦截恶意程序攻击415.8亿次，URL欺诈，网盘、聊天群等文件分享在木马传播渠道中的比例持续提高，在线棋牌游戏则成为木马产业链的主攻对象，浏览器受钓鱼网站威胁的次数达到81.0亿次，较2011年增长了273.3%，是同期挂马网页数量的近200倍，个人电脑的网络安全形势正在受到更加严峻的威胁。

１ 木马的危害

随着网络环境多元化的发展，病毒的感染和传播能力的途径也由原来的单一简单变得复杂而隐蔽，尤其是单位网络环境和内部网络环境的复杂化，为病毒的传播和生存提供了滋生的温床。木马和其他破坏性的病毒不同，它不是破坏计算机系统里的软硬件，而是通过系统漏洞植入木马程序，在用户毫不知情的情况下泄漏用户的密码、资料等，甚至可以远程监控用户的操作，达到偷窥别人隐私和获得经济利益的目的。因此，单位、国防、外交和商务部门，受木马的危害会更大，如果不慎中了木马损失会很惨重。木马的危害性比传统病毒的危害性更大，能够造成不可估计的损失。根据木马的性质和目的与一般的病毒截然不同，木马虽然是病毒中的一种，但它有别于传统病毒，所以将它从传统病毒中出来称之为“木马”病毒。

２ 木马的原理

木马病毒是一个计算机程序，它驻留在计算机里，随计算机自动启动，并对某一端口侦听、识别到所接收的数据后，对目标计算机执行特定的操作。木马程序是由客户端和服务端两个程序组成，其中客户端是攻击者远程控制终端的程序，服务端程序则是木马程序。当木马的服务端程序成功入侵到目标计算机系统上并运行以后，攻击者就可以使用客户端程序与服务端建立连接，并进一步控制被入侵的计算机系统。绝大多数木马程序的客户端和服务端通信协议使用的是TCP/IP协议，也有一些木马由于特殊的原因，使用UDP协议进行通信。当入侵计算机运行木马服务端程序以后，木马程序会把自己隐藏在计算机系统的某个角落里，防止被用户发现；同时木马程序会监听某个特定的端口，等待攻击者通过客户端程序进行连接；木马程序为了能

同时随着系统启动，一般会通过修改注册表或者其他的方式让木马成为默认的启动程序而自启。

３ 木马的传播方式

木马传播的途径多种多样，可以通过邮件进行传播，也可以通过网页进行传播，甚至可以通过一张图片进行传播，以下就木马的主要传播方式做一介绍：

1）利用邮件进行传播：攻击者将含有木马程序的电子邮件，发至被攻击者，只要用户打开电子邮件，默认的木马就会下载到本地计算机并运行。

2）利用下载进行传播：一些非法网站提供绑有木马程序的软件，用户点击下载后，一旦运行木马就会自动安装在操作系统上并运行。

3）利用网页进行传播：攻击者将木马程序写入网页HTML代码中，浏览器在加载页面时，将网页和网页中的木马程序加载到缓存中，通过修改系统注册表，使木马程序自动运行。

4）利用系统漏洞进行传播：攻击者利用系统漏洞造成系统应用程序崩溃，获得相应系统权限后，上传木马程序，在后台运行木马对用户造成危害。

5）利用远程连接进行传播：攻击者通过破解系统密码和建立远程连接登录用户系统，将木马程序植入系统并运行，通过客户端进行监控或盗取信息。

6）利用蠕虫病毒传播木马：网络蠕虫病毒具有很强的传染性和自我复制能力，将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性，在网络上进行传播、复制，这就加快了木马的传播速度。

4 木马的防范与清除

基本上所有的木马都是基于TCP/IP通讯的客户端/服务端结构的系统，服务端被安装后，会在被监控端打开一个监听端口等待客户端来连接，一般情况下，不同的木马，默认打开的监听端口不同，所以，查看电脑上打开的监听端口，可以判断电脑是否中了木马以及中了何种木马，如表1所示。

从理论上讲，动态端口不应作为服务端口，但是，还是有一部分正常程序和大多数木马程序的服务端固定使用了一个或几个端口进行监听网络。通过端口扫描软件，可以了解端口的使用情况，进而来判断是否被木马病毒所控制。使用端口扫描工具，能够扫描计算机所开放的端口，通过内置的一个马端口列表文件，就可以直接扫描电脑是否中了木马病毒。

另外一些木马病毒随系统自动启动，这就是“系统路径遍历优先级欺骗”，Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则，它会由系统所在盘符的根目录开始向系统目录深处递进查找，而不是精确定位。这就意味着，如果有两个同样名称的文件分别放在C:\\和C:\\Windows下，Windows会执行C:\\下的程序，而不是C:\\Windows下的。这样的搜寻逻辑就给入侵者提供一个机会，木马可以把自己改为系统启动时必定会调用的某个文件名，

并复制到比原文件要浅一级以上的目录里，Windows就会想当然的执行木马程序，系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”，因为无论哪个Windows版本的启动项里，它都是没有设置路径的。

木马的清除，可以采用自动和手动两种方式。最简单的方式是安装杀毒软件，当今国内很多杀毒软件像瑞星、金山毒霸、360杀毒等都能删除网络中最猖獗的木马。但杀毒软件的升级通常慢于新木马的出现，因此学会手工查杀很有必要。手动删除必须了解木马或病毒的藏身之地，另外还要对该木马病毒要有所了解，而且手动删除病毒也容易造成系统的损坏或意外的情况，因为它涉及到注册表的修改等，通常在删除一些比较顽固的病毒时，杀毒软件无法杀干净。一般情况下，可以先用专业杀毒软件如卡巴，杀木马软件如木马杀客先查杀，最好在查杀前升级杀毒软件的病毒库，这样可以了解是中了什么病毒。最好在安全模式下断开网络进行查杀木马，如果木马不是很顽固的话，清除几遍就可能解决木马病毒，没必要进行手动删除。如果用这些软件杀不掉，就必须进行手动删除了，手动清除时需要做到以下几点：

1）根据杀毒软件提供的路径找到它，并作好备份，以防删除系统文件系统损坏。

2）作好注册表的备份，手动删除会对注册表进行操作，它是系统的核心，误操作容易造成系统的崩溃。

3）最好通过互联网查找关于该病毒的特征与清除的方法做好准备，找到木马藏匿的地址和注册表键值，进行手动清除。

5 总结

现在网络安全正面临着前所未有的挑战。在这场网络安全的攻防战中，永远没有终点。随着技术的不断发展，木马病毒必定会以更加隐蔽、破坏力更强的方式出现，但“魔高一尺，道高一丈”，反病毒技术在不断进步的同时，还需要与当今最前沿的其他安全技术相结合，才能更有效地防范各种新的攻击手段。

［责任编辑：周娜］