木马病毒是什么

木马病毒是隐藏在正常程序中的具有特殊功能的恶意代码，是一种具有销毁和删除文件、发送密码、记录键盘、攻击Dos等特殊功能的后门程序。木马病毒实际上是计算机黑客用来远程控制计算机的程序。

木马病毒是隐藏在正常程序中的具有特殊功能的恶意代码，是一种具有销毁和删除文件、发送密码、记录键盘、攻击Dos等特殊功能的后门程序。木马病毒实际上是计算机黑客用来远程控制计算机的程序，它寄生在被控制的计算机系统中的控制程序上，对感染了木马病毒的计算机进行操作。一般的木马病毒程序主要是寻找计算机的后门，等待机会从被控制的计算机上窃取密码和重要文件。监控、数据修改等非法操作可以在受控计算机上进行。木马病毒隐蔽性强，可以按照黑客的意图突然攻击。

意义

计算机木马病毒是隐藏在正常程序中的具有特殊功能的恶意代码，是一种具有销毁和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

木马表面上无害，甚至对毫无戒心的用户有吸引力。它们经常隐藏在游戏或图形软件中，但它们是恶意的。这些看似友好的程序运行后，会采取一些非法行为，比如删除文件或者格式化硬盘。

一个完整的木马程序一般由两部分组成:一部分是服务器端，一部分是控制器端。“木马”是指安装了木马的服务器端程序。如果您的计算机安装了服务器端程序，拥有相应客户端的人可以通过网络控制您的计算机。想做什么就做什么。此时，您计算机上的各种文件和程序，以及您计算机上使用的帐号和密码，都完全不安全。

发展历史

木马技术发展非常迅速。主要是因为一些年轻人比较好奇，或者急于表现自己的实力，不断提高木马程序的编写。到目前为止，木马程序经历了六代的改进:

第一代是最原始的木马程序。主要是简单的窃取密码，通过电子邮件发送信息等。，拥有木马最基本的功能。

到了第二代，技术进步很大。冰川是中国木马的典型代表之一。

第三代主要改进在数据传输技术上，有ICMP等类型的木马，利用格式错误的消息传输数据，增加了杀毒软件查杀和识别的难度。

到了第四代，隐藏的过程发生了很大的变化。采用内核插入嵌入方法，利用远程线程插入技术嵌入DLL线程。或者挂钩PSAPI实现木马程序的隐藏，即使在Windows NT/2000下，也取得了很好的隐藏效果。灰鸽子和蜂贼都是著名的DLL木马。

第五代，驱动木马。多数驱动级木马使用大量Rootkit技术达到深度隐藏的效果，深入内核空。感染后攻击杀毒软件和网络防火墙，可以初始化系统SSDT，导致杀毒防火墙失去作用。一些驱动级木马可以驻留在基本输入输出系统中，很难杀死。

到了第六代，随着身份认证UsbKey和反病毒软件主动防御的兴起，带有粘虫技术和特殊反显示技术的木马逐渐开始系统化。前者主要窃取和篡改用户的敏感信息，后者主要攻击动态密码和硬证书。PassCopy和黑暗蜘蛛侠就是这类木马的代表。

原则

木马病毒通常基于计算机网络，是一种基于客户端和服务器端的通信和监控程序。客户端程序用于黑客远程控制，可以发出控制命令，从服务器接收信息。服务器程序运行在受控计算机上，通常隐藏在受控计算机中。它可以接收并执行客户端发送的命令，发回客户端需要的信息，这种程序通常被称为木马程序。

木马病毒攻击的必要条件是客户端和服务器端必须建立网络通信，网络通信是基于IP地址和端口号的。隐藏在服务器中的木马一旦被触发执行，就会不断向客户端发送通信的IP地址和端口号。客户端通过使用服务器木马通信的IP地址和端口号，在客户端和服务器之间建立通信链路。客户端的黑客可以利用这个通信链路来控制服务器端的计算机。

服务器上运行的木马首先隐藏行踪，伪装成合法的通信程序，然后通过修改系统注册表来设置触发条件，以确保能够执行，并不断监控注册表中的相关内容。如果您发现您的注册表已被删除或修改，您可以自动修复它。

类型

一、网游木马

随着网络游戏的普及和升温，中国拥有了大量的网络游戏玩家。金钱、设备等虚拟财富与网络游戏中真实财富的界限越来越模糊。与此同时，以盗取网游账号密码为目的的木马病毒也发展泛滥。

网游木马通常使用记录用户键盘输入和Hook游戏进程API函数等方法获取用户密码和账号。窃取的信息通常通过发送电子邮件或提交给远程脚本程序的方式发送给特洛伊木马作者。网游木马的种类和数量在国内木马病毒中首屈一指。所有流行的网游都没有受到网游木马的威胁。一款新游戏正式发布后，一至两周内就会产生相应的木马程序。大量木马生成器和黑客网站的公开出售，也是木马在网络游戏中泛滥的原因之一。

二、网银木马

网银木马是为网上交易系统编写的木马病毒，其目的是窃取用户的卡号、密码甚至安全证书。这类木马的数量虽然比不上网游木马，但其危害更直接，受害者损失更严重。

网银木马通常针对性很强。木马作者可能会先仔细分析某银行的网上交易系统，然后针对安全薄弱环节编写病毒程序。2013年，安全软件的电脑管家截获了网银木马“毕马温”的最新变种，毕马温病毒可以不着痕迹地修改支付界面，使用户根本无法检测到。它通过不良网站提供的假QVOD下载地址被广泛传播。当用户下载这个挂马播放器文件并安装时，就会陷入木马。病毒运行后，开始监控用户的网上交易，屏蔽余额支付和快速支付，强迫用户使用网银，趁机篡改订单，窃取财物。

随着网上交易在中国的普及，受到国外网银木马威胁的用户数量也在不断增加。

第三，下载类

这个木马一般体积较小，功能是从网络下载其他病毒程序或者安装广告软件。由于体积小，下载木马更容易，传播更快。通常“灰鸽子”、“黑洞”等强大笨重的病毒，都是通过编写一个小下载木马来传播的，用户中毒后会下载后门的主程序在这台机器上运行。

第四，代理类

用户感染代理木马后，HTTP、SOCKS等代理服务功能将在本地开启。黑客以被感染的计算机为跳板，作为被感染用户进行黑客活动，达到隐藏自己的目的。

动词 （verb的缩写）文件传输协议木马

FTP木马打开被控计算机的端口21(FTP使用的默认端口)，让每个人都可以使用一个FTP客户端程序连接到被控计算机，无需密码，并可以以最高权限上传和下载，窃取受害者的机密文件。新的FTP木马还增加了密码功能，这样只有攻击者知道正确的密码，然后进入对方电脑。

不及物动词通信软件

即时消息有三种常见的特洛伊木马:

(1)发送消息类型

通过即时通讯软件自动发送含有恶意URL的消息，目的是让收到消息的用户点击网站中毒，然后用户中毒后会向更多好友发送病毒消息。这种病毒常见的技术是搜索聊天窗口，然后控制窗口自动发送文本。发消息木马经常作为网络游戏木马的广告，比如“武汉男孩2005”木马，可以通过MSN、QQ、UC等聊天软件发送中毒网站，主要功能是盗取传奇游戏的账号和密码

(2)黑客攻击类型

主要目标是即时通讯软件的登录账号和密码。工作原理类似于网游木马。病毒编写者窃取他人账号后，可能会偷看聊天记录等隐私内容，在各种通讯软件中向好友发送不良信息和广告声明，或者出售自己的账号牟利。

(3)传播自己的类型

2005年初，“MSN性感鸡”等通过MSN传播的蠕虫泛滥一时，MSN推出新版本，禁止用户传输可执行文件。2005年上半年，QQ聊天软件传播了“QQ乌龟”和“QQ爱虫”两种国产病毒，感染了大量用户，在2005年上半年姜敏公司十大病毒排行榜上分别排名第一和第四。从技术角度来说，发送文件的QQ蠕虫是之前发送消息的QQ木马的进化。采用的基本技术是搜索后控制聊天窗口，从而达到发送文件或消息的目的。只发文件比发消息复杂多了。

七、网页点击类

网页点击木马恶意模拟用户点击广告，可在短时间内产生数万次点击。写病毒写手的目的是为了赚取高额的广告费用。这种病毒技术简单，一般只向服务器发送HTTP GET请求。

特征

(1)隐蔽。

木马病毒之所以能长期存在，主要是因为它能把自己隐藏起来，伪装成合法的应用程序，用户很难识别。这是木马病毒的第一个也是最重要的特征。像其他病毒一样，隐藏期往往更长。常用的方法是寄生在合法程序中，修改成合法程序名称或图标，不生成任何图标，不在进程中显示，冒充系统进程，与其他合法文件关联。

(2)欺骗。

特洛伊木马病毒的主要隐藏手段是欺骗，它往往通过伪装的手段使自己合法化。例如，使用合法的文件类型后缀“dll，sys，ini ' & # 8217等等。；使用现有的法律系统文件名，保存在其他文件目录中；使用易混淆的字符进行命名，如字母“o”和数字“0”，数字“1”和字母“I”。

(3)固执。

木马病毒为了保护自己不被传播，经常会像癌症一样驻留在被感染的电脑上，并且有很多备份文件。一旦主文件被删除，就可以立即恢复。特别是利用文件关联技术，只要执行关联的程序，就会执行木马病毒，产生新的木马程序甚至变种。顽固的木马病毒给木马清除带来很大困难。

(4)危害性。

木马病毒的危害性毋庸置疑。只要电脑感染了木马病毒，别有用心的黑客就可以随意操作电脑，就像在本地使用电脑一样，对被控电脑的损害可想而知。黑客可以为所欲为，窃取重要的系统资源，如系统密码、股票交易信息、机密数据等。

传播方式

特洛伊木马病毒以多种方式传播，包括:

(1)通过下载传播，在下载过程中进入程序，下载后打开文件时将病毒植入计算机；

(2)利用系统漏洞进行传播，当计算机存在漏洞时，就成为木马病毒攻击的对象；

(3)利用邮件传播，很多奇怪的邮件混有病毒种子，一旦打开邮件，病毒就被激活；

(4)远程连接传播；

(5)利用网页进行传播，在浏览网页的时候，往往会有很多页面跳出来，而这类页面就是病毒驻扎的地方；

(6)通过蠕虫传播。

伪装模式

鉴于木马病毒的危害性，很多人对木马知识有一定的了解，对木马的传播起到了一定的抑制作用，这是木马设计者不愿意看到的。因此，他们开发了各种功能来伪装木马，以降低用户的警惕性，欺骗用户。

1.修改图标

当你在电子邮件的附件中看到这个图标时，你认为它是一个文本文件吗？但是我不得不告诉你，这也可能是一个木马程序。已经有木马可以把木马服务器程序的图标改成HTML、TXT、ZIP等文件，相当混乱。但是提供这种功能的木马比较少见，而且这种伪装也不是无懈可击的，没必要整天担心。

2.捆绑文件

这种伪装意味着特洛伊木马与安装程序捆绑在一起。安装程序运行时，木马偷偷进入系统，用户并没有察觉。至于捆绑文件，一般都是可执行文件(即EXE、COM之类的文件)。

3.错误显示

任何一个对木马有一定了解的人都知道，如果一个文件被打开而没有任何响应，那很可能是一个木马程序，而木马设计者也意识到了这个缺陷，所以一个木马提供了一个叫做错误显示的功能。当服务器用户打开木马程序时，会弹出一个错误提示框(当然是false)。错误内容可以自由定义，大部分都会定制成类似“文件已损坏，无法打开！”这样的信息，当服务器用户信以为真的时候，木马已经悄悄入侵系统了。

4.自定义端口

很多老木马端口都是固定的，给判断是否感染了木马带来了方便。只要查一下具体的端口就知道感染了什么木马。所以很多新木马都增加了定制端口的功能。控制端用户可以选择1024到65535之间的任意端口作为木马端口(一般不选择1024以下的端口)，给判断感染木马的类型带来了麻烦。

5.自我毁灭

这个功能是为了弥补木马的一个缺陷。我们知道当一个服务器用户打开一个包含木马的文件时，木马会把自己复制到WINDOWS的系统文件夹中(在C:WINDOWS或者C:WINDOWSSYSTEM的目录下)。一般来说，原来的木马文件和系统文件夹中的木马文件大小一样(绑定文件的木马除外)，所以赢了木马的朋友只需要在收到的信件和下载的软件中找到原来的木马文件，然后到系统文件夹中根据原来的木马大小找到大小相同的文件来判断哪一个是木马。木马的自毁功能是指安装木马后，原有的木马文件会自动销毁，服务器用户很难找到木马的来源，没有木马查杀工具的帮助很难删除木马。

6.特洛伊被重新命名

安装在系统文件夹中的木马文件名一般都是固定的，所以你可以根据一些关于查杀木马的文章，通过在系统文件夹中查找具体的文件，来判断有哪些木马被查杀了。所以很多木马允许控制端的用户自由自定义安装的木马文件名，很难判断被感染的木马类型。

损害

木马病毒通过重写磁盘、破坏计算机数据库等方式直接破坏计算机，给用户带来不便。当木马破坏程序时，使程序无法运行，对计算机整体运行造成严重影响。其他木马可以通过磁盘的引导区进行，病毒有很强的复制功能，将用户程序传递给外部链接器。也可以改变磁盘的引导区，导致数据形成通道的破坏。病毒还通过大量拷贝抢占系统资源，干扰系统运行环境，影响计算机系统运行速度。

随着互联网的发展，木马看中了电子商务，在一些网购上挂了一些木马。当用户点击时，可以轻松进入用户系统，当用户使用网银时。通过互联网窃取银行密码，进而窃取用户的财务，给计算机用户造成了巨大的经济损失。在一些特殊领域，木马被用作攻击手段，如政治、军事、金融、交通等诸多领域，成为一个没有硝烟的战场。特洛伊木马是用来互相入侵，获取相关信息或者破坏的。