姜小妹 方芳

摘要隨著計算機使用的不斷增加，計算機病毒也越來越受到人們的重視。本文對木馬病毒入侵進行了分析，并提出了清除木馬的方法。

關鍵詞木馬入侵清除

隨著社會信息化技術的發(fā)展，網(wǎng)絡已成為人們生活中不可缺少的部分。人們在工作、學習和業(yè)余等時間運用電腦，在感受網(wǎng)絡帶來益處的同時，各種各樣的病毒也讓使用者頭痛不已，木馬病毒就是其中一種。有的黑客會利用木馬來盜取計算機用戶的隱私去謀取利益，這給人們的生活帶來了巨大的損失和危害。木馬是黑客最常用的基于遠程控制的工具，目前比較有名的主要有：“冰河”、“黑洞”、“黑冰”、“Bo2000”等。計算機一旦被木馬病毒侵入，可能會造成信息的丟失、系統(tǒng)的破壞甚至系統(tǒng)癱瘓，所以計算機的安全問題是目前急需解決的問題。

1 木馬病毒

所謂木馬（全稱是特洛伊木馬）是利用計算機程序漏洞侵入后竊取文件的程序，它是一種與遠程計算機之間建立起連接，使遠程計算機能夠通過網(wǎng)絡控制本地計算機的程序。它包含兩部分：服務器和控制器，黑客利用控制器進入運行了服務器（被入侵的電腦）的計算機。運行了程序的服務器，其計算機就會有一個或幾個端口被打開，使黑客可以利用這些打開的端口進入計算機系統(tǒng)。

2 木馬病毒的入侵

木馬入侵計算機，一般都要完成“向目標主機傳播木馬”、“啟動和隱藏木馬”、“建立連接”、“遠程控制”等環(huán)節(jié)。它的入侵方式主要有：

（1）電子郵件傳播。攻擊者將木馬程序偽裝成郵件的附件發(fā)送出去，收件人只要打開附件系統(tǒng)就會感染木馬；（2）網(wǎng)絡下載傳播。一些非正規(guī)的網(wǎng)站利用木馬小的特點將木馬捆綁在軟件安裝程序上提供給用戶下載，只要用戶一運行這些程序，木馬就會自動安裝；（3）遠程入侵傳播。黑客通過破解密碼和建立IPC$遠程連接后登錄到主機，將木馬服務端程序復制到計算機中的文件夾，然后通過遠程操作來控制木馬進而達到目的；（4）利用系統(tǒng)漏洞植入。有時候服務器會出現(xiàn)漏洞，黑客便利用這些漏洞將木馬植入計算機。譬如MIME漏洞，因為MIME簡單有效，加上寬帶網(wǎng)的流行，令用戶防不勝防；（5）修改文件關聯(lián)。隱蔽是木馬常用的攻擊手段，它們通常采用修改文件打開關聯(lián)來達到加載的目的。著名的木馬冰河就是采用這種方式。

3 木馬的檢測

（1）進程和端口檢測。木馬一般是以exe后綴形式的文件存在，因此當木馬的服務器端運行時，一定會出現(xiàn)在進程中。查看端口的方法一般有三種：使用Windows本身自帶netstat的工具，命令是C:> netstat -an ；使用Windows命令行工具fport，命令是E:software>Fport.exe ；使用圖形化界面工具Active Potrs，這個工具可以監(jiān)視到計算機所有打開的TCP/IP/UDP端口，還可以顯示所有端口所對應程序的所在的路徑。

（2）檢查Win.ini和System.ini系統(tǒng)配置文件。在win.ini文件中，[WINDOWS]下面如果“Run=”和“Load=”等號后面結果不是空的，很可能是計算機中了木馬病毒。在System.ini文件中，[BOOT]下面“shell= 文件名”，如果不是“shell=Explorer.exe”，也很可能是中了木馬病毒。

（3）查看啟動程序。如果木馬自動加載的文件是直接通過Windows菜單上自定義添加的，一般都會放在主菜單的“開始->程序->啟動”處。檢查是否有可疑的啟動程序，便很容易查到是否中了木馬。

（4）檢查注冊表。注冊表中木馬一旦被加載，一般都會被修改。一般情況修改HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN, HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN SERVICES,HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN。目錄下，查看有沒有不熟悉的擴展名為EXE的自動啟動文件。

（5）使用檢測軟件。除了手工檢測木馬外，還可以通過各種殺毒軟件、防火墻軟件和各種木馬查殺工具等檢測木馬。

4 木馬病毒的清除

檢測到計算機中了木馬后，馬上將計算機與網(wǎng)路斷開，然后根據(jù)木馬的特征來進行清除。清除方法有：

（1）停止可疑的系統(tǒng)進程。木馬程序在運行時會在系統(tǒng)進程中留下痕跡，通過查看系統(tǒng)進程可以發(fā)現(xiàn)運行的木馬程序。清除木馬時，首先停止木馬程序的系統(tǒng)進程，其次修改注冊表，最后清除木馬文件。

（2）用木馬的客戶端程序清除。查看系統(tǒng)啟動程序和注冊表是否存在可疑的程序后，判斷是否中了木馬，如果存在木馬，則查出木馬文件并刪除外，同時將木馬自動啟動程序刪除。

（3）殺毒軟件和查殺工具。木馬程序大部分都是利用操作系統(tǒng)的漏洞將木馬加載到系統(tǒng)中，利用較好較新的殺毒軟件加上補丁程序，可自動清除木馬程序。常用殺毒軟件包括Kill3000、瑞星、木馬終結者等。

（4）手工清除。在不知道木馬屬于何種程序的情況下應用手工清除，打開系統(tǒng)配置實用程序?qū)in.ini、System.ini進行編輯，在Win.ini中將“Run=文件名”或“Load=文件名”更改為“Run= ”或“Load= ”， 在System.ini中將“Shell=文件名”更改為“Shell=Explorer.exe”，屏蔽非法啟動項，用Regedit打開注冊表的鍵值及注冊項的默認值或正常值，刪除木馬。

5 QQ卓越木馬的查殺程序設計

掌握了木馬的入侵和檢測等相關知識后，我們做了一個針對QQ卓越木馬的殺毒程序。整個程序的查殺毒流程如圖1所示。

該程序查殺過程，首先掃描內(nèi)存，接著是系統(tǒng)目錄，然后注冊表，最后對硬盤進行掃描。

內(nèi)存中掃描木馬進程主要用到了自定義函數(shù)FindProcByName，進程掃描開始及結束都會在狀態(tài)欄及查殺結果欄中顯示相應信息。自定義函數(shù)FindProcByName應用CreateToolhelp32Snapshot獲取進程快照，若列表中有進程存在，用Process32First獲取第一個進程的信息，若進程文件名與木馬進程名字相同，則記錄木馬EXE程序同時記錄木馬DLL的程序并把他們添加到查殺列表，循環(huán)比較列表中的每個進程。若停止的話就直接跳出殺毒程序。內(nèi)存掃描完之后，如果發(fā)現(xiàn)內(nèi)存中有卓越QQ木馬時，找到該木馬程序的執(zhí)行程序所在目錄，并檢測此目錄下有沒有木馬文件，若有則進行查殺。

接著掃描注冊表。主要查看系統(tǒng)及用戶啟動項的Run鍵值下是否有卓越QQ木馬鍵值，若有將其刪除，同時將木馬計數(shù)器TrojanCnt及注冊表木馬計數(shù)器RegTrojanCnt加一。然后查看是否有木馬文件，若有木馬文件，根據(jù)卓越QQ木馬鍵值找到其真實路徑，將其.exe及.dll程序添加到查殺列表，掃描并中止該木馬進程后再刪除木馬文件。

最后掃描硬盤。要對硬盤進行木馬查殺，找到文件，經(jīng)判斷如果為病毒文件，將木馬計數(shù)器及硬盤木馬計數(shù)器加一，然后將檢測結果在查殺結果中顯示出。用自定義函數(shù)Length，Copy、ScanDir、CompareFileNames可以實現(xiàn)。

6 結束語

木馬病毒不僅種類豐富，而且在運行過程中會不斷進化。了解病毒的基本特性，有助于用戶查殺病毒，因此安裝好殺毒軟件和相應查殺木馬的工具，做好系統(tǒng)補丁升級，同時用戶應提高警覺，預先采用防護措施并從技術和管理兩個方面入手，完善安全防護體系，這樣才能最大程度上減少病毒給廣大計算機用戶帶來的危害。