㈠ 如何判斷電腦是否感染木馬病毒
電腦一旦感染病毒是比較難判斷的,有些病毒會潛伏在電腦了,過一段時間才回發作,但一般電腦要是中了病毒,就會使電腦的速度減慢,佔有大量系統資源,還有,就是主機箱上的硬碟指示燈,在沒有操作的情況下,會長時間的閃動,那就基本上可以肯定是有了病毒,在就是網路木馬,只要檢查一下你對外連接的埠就可以查出來,木馬進入電腦後,會開放一個埠,與外界進行連接,一般情況下,接入網路開放的埠是137、138和139埠,在就是一些軟體的埠,比如,訊雷默認埠是3077,其餘的埠在不使用的時候是不開放的,如果你發現有長時間開放的埠,那就是中了木馬。
木馬簡介前言
在我潛意識中說起「木馬」馬上就聯想到三國時期諸葛亮先生發明的木牛流馬,當初怎麼就想不通它與病毒扯上關系了。經過一番了解,原來它是借用了一個古希臘士兵藏在木馬中潛入敵方城市,從而一舉佔領敵方城市的故事,因為現在所講的木馬病毒侵入遠程主機的方式在戰略上與其攻城的方式一致。通個這樣的解釋相信大多數朋友對木馬入侵主機的方式所有領悟:它就是通過潛入你的電腦系統,通過種種隱蔽的方式在系統啟動時自動在後台執行的程序,以「里應外合」的工作方式,用伺服器/客戶端的通訊手段,達到當你上網時控制你的電腦,以竊取你的密碼、游覽你的硬碟資源,修改你的文件或注冊表、偷看你的郵件等等。
一旦你的電腦被它控制,則通常表現為藍屏然死機;CD-ROM莫名其妙地自己彈出;滑鼠左右鍵功能顛倒或者失靈或文件被刪除;時而死機,時而又重新啟動;在沒有執行什麼操作的時候,卻在拚命讀寫硬碟;系統莫明其妙地對軟碟機進行搜索;沒有運行大的程序,而系統的速度越來越慢,系統資源佔用很多;用 CTRL+ALT+DEL調出任務表,發現有多個名字相同的程序在運行,而且可能會隨時間的增加而增多等等。
不過要知道,即使發現了你的機器染上木馬病毒,也不必那麼害怕,因為木馬病毒與一般病毒在目的上有很大的區別,即使木馬運行了,也不一定會對你的機器造成危害。但肯定有壞處,你的上網密碼有可能已經跑到別人的收件箱里了,這樣黑客們就可以盜用你的上網賬號上網了!木馬程序也是病毒程序的一類,但更具體的被認為黑客程序,因為它入侵的目的是為發布這些木馬程序的人,即所謂的黑客服務的。
本文將就木馬的一些特徵、木馬入侵的一些常用手法及清除方法以及如何避免木馬的入侵以及幾款常見木馬程序的清除四個方面作一些綜合說明。
木馬的基本特徵
木馬是病毒的一種,同時木馬程序又有許多種不同的種類,那是受不同的人、不同時期開發來區別的,如BackOrifice(BO)、 BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等這些都屬於木馬病毒種類。綜合現在流行的木馬程序,它們都有以下基本特徵:
1、隱蔽性是其首要的特徵
如其它所有的病毒一樣,木馬也是一種病毒,它必需隱藏在你的系統之中,它會想盡一切辦法不讓你發現它。很多人的對木馬和遠程式控制制軟體有點分不清,因為我前面講了木馬程序就要通過木馬程序駐留目標機器後通過遠程式控制制功能控制目標機器。實際上他們兩者的最大區別就是在於這一點,舉個例子來說吧,象我們進行區域網間通訊的常軟體——PCanywhere大家一定不陌生吧,大家也知道它是一款遠程通訊軟體。PCanwhere在伺服器端運行時,客戶端與伺服器端連接成功後客戶端機上會出現很醒目的提示標志。而木馬類的軟體的伺服器端在運行的時候應用各種手段隱藏自己,不可能還出現什麼提示,這些黑客們早就想到了方方面面可能發生的跡象,把它們扼殺了。例如大家所熟悉木馬修改注冊表和ini文件以便機器在下一次啟動後仍能載入木馬程式,它不是自己生成一個啟動程序,而是依附在其它程序之中。有些把伺服器端和正常程序綁定成一個程序的軟體,叫做exe-binder綁定程式,可以讓人在使用綁定的程式時,木馬也入侵了系統,甚至有個別木馬程序能把它自身的exe文件和伺服器端的圖片文件綁定,在你看圖片的時候,木馬也侵入了你的系統。它的隱蔽性主要體現在以下兩個方面:
a、不產生圖標
它雖然在你系統啟動時會自動運行,但它不會在「任務欄」中產生一個圖標,這是容易理解的,不然的話,憑你的火眼金睛你一定會發現它的。我們知道要想在任務欄中隱藏圖標,只需要在木馬程序開發時把「Form」的「Visible 」屬性設置為「False」、把「ShowintaskBar」屬性設置為「Flase」即可;
b、木馬程序自動在任務管理器中隱藏,並以「系統服務」的方式欺騙操作系統。
2、它具有自動運行性
它是一個當你系統啟動時即自動運行的程序,所以它必需潛入在你的啟動配置文件中,如win.ini、system.ini、winstart.bat以及啟動組等文件之中。
3、木馬程序具有欺騙性
木馬程序要達到其長期隱蔽的目的,就必需藉助系統中已有的文件,以防被你發現,它經常使用的是常見的文件名或擴展名,如「dll\win\sys \explorer等字樣,或者仿製一些不易被人區別的文件名,如字母「l」與數字「1」、字母「o」與數字「0」,常修改基本個文件中的這些難以分辨的字元,更有甚者乾脆就借用系統文件中已有的文件名,只不過它保存在不同路徑之中。還有的木馬程序為了隱藏自己,也常把自己設置成一個ZIP文件式圖標,當你一不小心打開它時,它就馬上運行。等等這些手段那些編制木馬程序的人還在不斷地研究、發掘,總之是越來越隱蔽,越來越專業,所以有人稱木馬程序為「騙子程序」。
4、具備自動恢復功能
現在很多的木馬程序中的功能模塊已不再是由單一的文件組成,而是具有多重備份,可以相互恢復。
5、能自動打開特別的埠
木馬程序潛入人的電腦之中的目的不主要為了破壞你的系統,更是為了獲取你的系統中有用的信息,這樣就必需當你上網時能與遠端客戶進行通訊,這樣木馬程序就會用伺服器/客戶端的通訊手段把信息告訴黑客們,以便黑客們控制你的機器,或實施更加進一步入侵企圖。你知不知道你的電腦有多少個對外的「門」,不知道吧,告訴你別嚇著,根據TCP/IP協議,每台電腦可以有256乘以256扇門,也即從0到65535號「門,但我們常用的只有少數幾個,你想有這么門可以進,還能進不來?當然有門我們還是可以關上它們的,這我在預防木馬的辦法中將會講到。
6、 功能的特殊性
通常的木馬的功能都是十分特殊的,除了普通的文件操作以外,還有些木馬具有搜索cache中的口令、設置口令、掃描目標機器人的IP地址、進行鍵盤記錄、遠程注冊表的操作、以及鎖定滑鼠等功能,上面所講的遠程式控制制軟體的功能當然不會有的,畢竟遠程式控制制軟體是用來控制遠程機器,方便自己操作而已,而不是用來黑對方的機器的。
7、黑客組織趨於公開化
以往還從未發現有什麼公開化的病毒組織(也許是我孤陋寡聞),多數病毒是由個別人出於好奇(當然也有專門從事這一職業的),想試一下自己的病毒程序開發水平而做的,但他(她)絕對不敢公開,因為一旦發現是有可能被判坐牢或罰款的,這樣的例子已不再什麼新聞了。如果以前真的也有專門開發病毒的病毒組織,但應絕對是屬於「地下」的。現在倒好,什麼專門開發木馬程序的組織到處都是,不光存在,而且還公開在網上大肆招兵買馬,似乎已經合法化。正因如此所以黑客程序不斷升級、層出不窮,黑的手段也越來越高明。我不知道為什麼,但據講其理由是「為了自衛、為了愛國」 。
木馬入侵的常用手法及清除方法
雖然木馬程序千變萬化,但正如一位木馬組織的負責人所講,大多數木馬程序沒有特別的功能,入侵的手法也差不多,只是以前有關木馬程序的重復,只是改了個名而已,現在他們都要講究效率,據說他們要杜絕重復開發,浪費資源。當然我們也只能講講以前的一些通用入侵手法,因為我們畢竟不是木馬的開發者,不可能有先知先覺。
1、在win.ini文件中載入
一般在win.ini文件中的[windwos]段中有如下載入項:
run= load= ,一般此兩項為空,如圖1所示。
圖1
如果你發現你的系統中的此兩項載入了任何可疑的程序時,應特別當心,這時可根據其提供的源文件路徑和功能進一步檢查。我們知道這兩項分別是用來當系統啟動時自動運行和載入程序的,如果木馬程序載入到這兩個子項中之後,那麼當你的系統啟動後即可自動運行或載入了。當然也有可能你的系統之中確是需要載入某一程序,但你要知道這更是木馬利用的好機會,它往往會在現有載入的程序文件名之後再加一個它自己的文件名或者參數,這個文件名也往往用你常見的文件,如command.exe、sys.com等來偽裝。
2、在System.ini文件中載入
我們知道在系統信息文件system.ini中也有一個啟動載入項,那就是在[BOOT]子項中的「Shell」項,如圖2所示。
圖2
在這里木馬最慣用的伎倆就是把本應是「Explorer」變成它自己的程序名,名稱偽裝成幾乎與原來的一樣,只需稍稍改"Explorer」的字母「l」改為數字「1」,或者把其中的「o」改為數字「0」,這些改變如果不仔細留意是很難被人發現的,這就是我們前面所講的欺騙性。當然也有的木馬不是這樣做的,而是直接把「Explorer」改為別的什麼名字,因為他知道還是有很多朋友不知道這里就一定是「Explorer」,或者在 「Explorer」加上點什麼東東,加上的那些東東肯定就是木馬程序了。
3、修改注冊表
如果經常研究注冊表的朋友一定知道,在注冊表中我們也可以設置一些啟動載入項目的,編制木馬程序的高手們當然不會放過這樣的機會的,況且他們知道注冊表中更安全,因為會看注冊表的人更少。事實上,只要是」Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木馬程序載入的入口,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce],如圖3所示;
圖3
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run -或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce],如圖4所示。
圖4
你只要按照其指定的源文件路徑一路查過去,並具體研究一下它在你系統這中的作用就不難發現這些鍵值的作用了,不過同樣要注意木馬的欺騙性,它可是最善於偽裝自己呵!同時還要仔細觀察一下在這些鍵值項中是否有類似netspy.exe、空格、.exe或其它可疑的文件名,如有則立即刪除。
4、修改文件打開關聯
木馬程序發展到了今天,他們發現以上的那些老招式不靈了,為了更加隱蔽自己,他們所採用隱蔽的手段也是越來越高明了(不過這也是萬物的生存之道,你說呢?),它們採用修改文件打開關聯來達到載入的目的,當你打開了一個已修改了打開關聯的文件時,木馬也就開始了它的運作,如冰河木馬就是利用文本文件(.txt)這個最常見,但又最不引人注目的文件格式關聯來載入自己,當有人打開文本文件時就自動載入了冰河木馬。
修改關聯的途經還是選擇了注冊表的修改,它主要選擇的是文件格式中的「打開」、「編輯」、「列印」項目,如冰河木馬修改的對象如圖5所示,
圖5
如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的鍵值不是「c:\windows\notepad.exe %1」,而是改為「sy***plr.exe %1」。
以上所介紹的幾種木馬入侵方式,如果發現了我們當然是立即對其刪除,並要立即與網路斷開,切斷黑客通訊的途徑,在以上各種途徑中查找,如果是在注冊表發現的,則要利用注冊表的查找功能全部查找一篇,清除所有的木馬隱藏的窩點,做到徹底清除。如果作了注冊表備份,最好全部刪除注冊表後再導入原來的備份注冊表。
在清除木馬前一定要注意,如果木馬正在運行,則你無法刪除其程序,這時你可以重啟動到DOS方式然後將其刪除。有的木馬會自動檢查其在注冊表中的自啟動項,如果你是在木馬處於活動時刪除該項的話它能自動恢復,這時你可以重啟到DOS下將其程序刪除後再進入Win9x下將其注冊表中的自啟動項刪除。