关于楼主的问题,我用原来写过的一篇旧主题来解释一下:
近日,在论坛上不少网友在网上发帖,说瑞星对于木马的查杀能力较弱。
现在,让我们一起来分析一下“木马”到底是啥玩艺,也许对朋友们有点帮助。
首先,木马无论是在硬件还是在软件上,都需要两个方面,一是控制端,二是服务端
当然,Internet永远充当着两方的数据传输载体。也就是说,中木马的PC可以被控制端完全掌握。即木马为一种黑客工具。
木马的制作与配置,一般需要一个“木马配置程序”,而配置木马的目的,一是为了实现服务端“信息反馈”和自身的“伪装”。
所谓“伪装”,随着科技进步,手段也越来越多。最早的木马,主要通过E-mail传播,也就是现在所说的,邮件附件中带毒。当然,木马自出生之日起,就具有着一种特性——可以与执行文件捆绑,这也就解释了,我们下载部分软件时为什么会中木马。
现在,木马的伪装手段在不断的更新。常见的手段有:
伪装成驱动程序,随着系统启动时一起加载。
在网页中嵌入恶意代码,即常说的“挂马”
捆绑系统进程
这些手段无疑给杀软增加了杀软查杀的难度,大家知道,从WIN2000开始,系统的安全性和可靠性都有提升,很多以前类似死机的情况,现在都可以通过“任务管理器”解决,这源于微软对系统进程与驱动的较高安全级别的特殊保护。
可是,这种保护在提高系统可靠信的同时,也被木马利用,在伪装成驱动程序和捆绑系统进程后,木马同样可以获得较高的系统安全级别。以至于杀毒软件束手无策。
木马的客户端安放是很有规律的,一般的木马,作为独立的黑客程序,不具有传染性(跨平台病毒除外),一般,其病毒文件都安放在C;\WINDOWS或C;\WINDOWS\system(32)下,然后分别在注册表,启动组和非启动组中设置好木马触发的条件。
木马的控制连接,是当木马被激活后开启部分端口,所以在脱机状态下是不会受到木马威胁的。除了上述条件外,控制连接的建立还必须满足一个条件,和打IP电话一样,控制端和服务端必须同时在线。
木马的功能主要是收集服务端信息,例如QQ号,游戏帐号,银行帐号等,其中任何木马都会获取你PC的IP地址。正是由于木马的此项功能,金山毒霸在《中国2007年上半年病毒疫情及互联网安全报告》中才尖锐的指出,木马进入了经济时代。
大家一定还记得“李俊”这个名字,没错,他就是“熊猫烧香”的作者,在2006年底,玩垮了数以千万记的计算机,在武汉电视台记者,时候在仙桃看守所采访李俊时,他承认,其月收入高达8万块钱,而这些收入,就是靠着一个个木马盗取的游戏帐号和QQ号得来的。
现在木马的分类有很多,在这里就不介绍了,仅仅说几个常见的木马,另附中文名。
Tanjor.DL.xxxx(木马加载器)
Tanjor.DL.Agnt.xxx(木马代理)
Tanjor.Online.gamexxx(游戏盗号木马)
Tanjor.QQHelper.xx(QQ盗号木马)
综上所述,木马的查杀有一定难度,但也有方法可循。
第一,在登陆系统前扫描,可以破解病毒捆绑系统进程和冒充驱动的手法(瑞星,江民,金山2007版本均有此功能。
第二,可以进安全模式下查杀,安全模式下,系统丢掉了一些服务,所以也可以达到杀灭病毒的目的。
第三,由于木马的文件安放很有规律,又是独立的个体所以适合手动查杀。去www.duote.com下载“冰刃”,根据杀毒软件提供的完整路径“强制删除”病毒文件。记住,删除后,需要用杀毒软件全盘查杀,以查杀木马残留在本机上的注册表项。
第四,断开网络,或隔离木马病毒,即破坏木马连接,使得链接无法建立。再试图结束部分非系统进程,然后全盘查杀。
第五,最彻底的方法,是将中毒硬盘挂载到其他计算机上作为从盘查杀。这样就彻底使木马的各种伪装手段。(为避免交叉感染,此方法仅对木马病毒)
第六,建议大家开启windows的“系统还原”。一旦中了顽固病毒,即可启用还原点,非常有效。
参考文献《计算机系统安全原理与技术》
《计算机网络教程》
panxiaoting
07.07.15
