【摘要】隨著科技的不斷進(jìn)步，網(wǎng)絡(luò)環(huán)境呈現(xiàn)多元化發(fā)展，一些網(wǎng)絡(luò)木馬病毒的傳播和感染也發(fā)生了很大的變化。木馬病毒一旦進(jìn)入到目標(biāo)計(jì)算機(jī)后，將面臨數(shù)據(jù)丟失、機(jī)密泄露的危險，一些重要單位、國防、外交以及商務(wù)部門受到木馬病毒入侵的危害會更大，有時可能會危及國家的存亡。對于木馬病毒，首先要了解其運(yùn)行原理，然后要防患于未然，當(dāng)木馬病毒入侵時通過檢測進(jìn)行病毒判斷，然后用自動或者手動的方法進(jìn)行及時清除。

【關(guān)鍵詞】木馬病毒危害應(yīng)對

【中圖分類號】TP309.5 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1674-4810（2014）08-0182-02

一 木馬病毒的危害

隨著科技的不斷進(jìn)步，網(wǎng)絡(luò)環(huán)境呈現(xiàn)多元化發(fā)展，一些網(wǎng)絡(luò)木馬病毒的傳播和感染也發(fā)生了很大的變化，由原先的單一明顯到現(xiàn)在的復(fù)雜隱蔽，而一些單位網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)環(huán)境的變化更是給木馬提供了很好的生存空間。目前木馬已經(jīng)成為網(wǎng)絡(luò)系統(tǒng)入侵的重要手段，計(jì)算機(jī)感染了木馬病毒將面臨數(shù)據(jù)丟失、機(jī)密泄露的危險，它不是破壞計(jì)算機(jī)的軟硬件這么簡單，而是通過植入木馬病毒將竊取計(jì)算機(jī)里面的密碼和資料，甚至進(jìn)行遠(yuǎn)程監(jiān)控、偷窺用戶的隱私等。木馬病毒不僅針對個人用戶，同時一些大型網(wǎng)絡(luò)服務(wù)器也是其入侵對象，入侵者通過對其植入的木馬病毒竊取系統(tǒng)管理員的口令，最終達(dá)到入侵系統(tǒng)目標(biāo)服務(wù)器的目的。因此，一些重要單位、國防、外交以及商務(wù)部門受到木馬病毒入侵的危害會更大，有時可能會危及國家的存亡。

作為一種新型的網(wǎng)絡(luò)病毒，木馬病毒跟普通病毒相比在有關(guān)技術(shù)和功能上存在很大的差異，一般病毒的設(shè)計(jì)主要側(cè)重于隱蔽性和傳播性的實(shí)現(xiàn)，而木馬病毒還要強(qiáng)調(diào)與外界通信、反清除、反識別能力。所以對于木馬病毒的防御和清除的難度比較大，要先分析其傳染的原理以及傳播方式，從根本上來應(yīng)對木馬病毒的入侵。

二 木馬病毒分析

1.木馬病毒產(chǎn)生背景

計(jì)算機(jī)木馬病毒的產(chǎn)生是計(jì)算機(jī)技術(shù)和社會信息化進(jìn)程發(fā)展到一定階段的產(chǎn)物，它產(chǎn)生的背景是：（1）作為計(jì)算機(jī)犯罪的新型方式，它取證困難、風(fēng)險小、破壞大，具有動態(tài)性、隨機(jī)性和瞬時性等特點(diǎn)。（2）計(jì)算機(jī)屬于電子設(shè)備，在輸入、存儲、輸出等環(huán)節(jié)都容易發(fā)生篡改、丟失、偽造和損壞等情況，這些脆弱性使得木馬病毒入侵十分方便。（3）涉密信息系統(tǒng)中局域網(wǎng)的建設(shè)為木馬病毒產(chǎn)生提供了必要的環(huán)境，局域網(wǎng)環(huán)境的復(fù)雜化，為病毒生存提供了最快最好的溫床。

2.木馬病毒的原理

木馬病毒是一種計(jì)算機(jī)黑客用于遠(yuǎn)程控制計(jì)算機(jī)的程序，一旦進(jìn)入就會駐扎在計(jì)算機(jī)里，隨著計(jì)算機(jī)的運(yùn)行而自動運(yùn)轉(zhuǎn)，對目標(biāo)計(jì)算機(jī)進(jìn)行特殊的操作，一般是竊取密碼和重要文件，對控制計(jì)算機(jī)實(shí)施監(jiān)控和資料修改等操作。

木馬病毒能正常工作必須由客戶端程序和服務(wù)端程序建立網(wǎng)絡(luò)通信，這種通信是基于IP地址和端口號的。一般客戶端不是木馬程序，服務(wù)端才是木馬程序，隱藏在服務(wù)端的木馬程序一旦被觸發(fā)，就會不斷將通信的IP地址和端口號發(fā)給客戶端，客戶端利用服務(wù)端發(fā)出的信息與服務(wù)端建立一條通信線路，最終通過這條線路來控制服務(wù)端的計(jì)算機(jī)。絕大多數(shù)木馬程序的客戶端和服務(wù)端通信協(xié)議使用的是TCP/IP協(xié)議，也有部分使用UDP協(xié)議進(jìn)行通信。

但通常情況下，服務(wù)端的木馬程序首先要隱藏自己的行蹤，偽裝成合法的程序，然后通過修改注冊表設(shè)置觸發(fā)條件，保證自己可以被執(zhí)行，一旦發(fā)現(xiàn)自己的注冊表被修改或刪除就能自動修復(fù)。

3.木馬病毒的傳播方式

木馬病毒的傳播方式比較多，主要有：（1）利用下載進(jìn)行傳播，在下載的過程中進(jìn)入程序，當(dāng)下載完畢打開文件就將病毒植入到電腦中；（2）利用系統(tǒng)漏洞進(jìn)行傳播，當(dāng)計(jì)算機(jī)存在漏洞，就成為木馬病毒攻擊的對象；（3）利用郵件進(jìn)行傳播，很多陌生郵件里面就摻雜了病毒種子，一旦郵件被打開，病毒就被激活；（4）利用遠(yuǎn)程連接進(jìn)行傳播；（5）利用網(wǎng)頁進(jìn)行傳播，在瀏覽網(wǎng)頁時會經(jīng)常出現(xiàn)很多跳出來的頁面，這種頁面就是病毒駐扎的地方；（6）利用蠕蟲病毒進(jìn)行傳播等。

三 木馬病毒的應(yīng)對

1.木馬病毒的防范

第一，木馬病毒檢測。很多情況下木馬病毒都是基于TCP/IP通訊的客戶端/服務(wù)端結(jié)構(gòu)系統(tǒng)，不同的木馬病毒默認(rèn)打開的監(jiān)聽端口不同，所以通過查看電腦上的監(jiān)聽端口可以判斷電腦是否中了木馬病毒以及中了何種木馬病毒。通過端口掃描軟件，可以了解端口使用情況，進(jìn)而來判斷是否被木馬病毒所控制。同時，使用端口掃描工具，通過內(nèi)置的一個木馬病毒端口列表文件，就能直接掃描電腦是否中了木馬病毒。

第二，木馬病毒防范。對于木馬病毒，要在它沒有進(jìn)入系統(tǒng)時就進(jìn)行適當(dāng)?shù)姆婪?，具體的防范措施有：（1）安裝最新的殺毒軟件，特別是帶有木馬病毒攔截功能的殺毒軟件，如金山毒霸、360安全衛(wèi)士、諾頓和瑞星等。當(dāng)安裝完殺毒軟件后，必須打開軟件的系統(tǒng)監(jiān)視功能，以便及時發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)的注冊表、應(yīng)用進(jìn)程、內(nèi)存等變動情況。當(dāng)然還要隨時對殺毒軟件進(jìn)行更新，以保證計(jì)算機(jī)受到保護(hù)；（2）及時更新系統(tǒng)漏洞補(bǔ)丁，升級系統(tǒng)軟件和應(yīng)用軟件。軟件在設(shè)計(jì)時難免會存在一些安全漏洞，但開發(fā)商會及時發(fā)現(xiàn)問題并進(jìn)行補(bǔ)洞，所以要及時更新軟件最新版本，提高計(jì)算機(jī)的免疫能力；（3）不要輕易打開陌生的電子郵件附件，如果你想打開請以純文本方式閱讀郵件；（4）不隨意瀏覽陌生網(wǎng)站，包括一些網(wǎng)絡(luò)電視廣告或者網(wǎng)站聯(lián)盟中的一些廣告條和來歷不明的網(wǎng)絡(luò)鏈接，因?yàn)檫@些很有可能是木馬病毒的入口。同時，不要使用未經(jīng)殺毒的軟件下載網(wǎng)站，軟件升級要使用官方網(wǎng)站提供的升級包；（5）給電腦安裝防火墻，即使你安裝了殺毒軟件，因?yàn)榉阑饓ο喈?dāng)于電腦的門衛(wèi)，掌管著系統(tǒng)的各個端口進(jìn)出的身份驗(yàn)證。

2.木馬病毒的清除

第一，木馬病毒清除難易度評估。木馬病毒的危害大小和其清除難易程度可以從以下四個方面來評估：（1）易植入性評估：對于木馬病毒入侵來說第一件也是非常重要的一件事就是要能夠進(jìn)入到目標(biāo)計(jì)算機(jī)，這就得考驗(yàn)?zāi)抉R病毒的易植入性能力。其中欺騙性和利用系統(tǒng)漏洞是木馬病毒最常見的植入手法，各種小功能軟件就成為木馬病毒經(jīng)常駐扎的地方。同時，蠕蟲技術(shù)與木馬技術(shù)的結(jié)合，也大大提高了木馬病毒的易植入性。（2）隱蔽性評估：木馬病毒一旦進(jìn)入到目標(biāo)計(jì)算機(jī)以后，就會在里面駐扎，長期潛伏而不被發(fā)現(xiàn)。那么對于木馬病毒清除難易程度，評估木馬的隱蔽性非常重要。一個隱蔽性較好的木馬病毒很難被殺毒軟件檢查出來并且清除掉，這種就必須手動清除；但如果隱蔽性較差的木馬病毒就很容易暴露自己，接著被殺毒軟件發(fā)現(xiàn)、清除。所以可以說隱蔽性是木馬病毒的生命，如果隱蔽性差，那么這種木馬病毒將變得毫無價值。（3）頑固性評估：當(dāng)木馬病毒被檢測出來以后，就要評估其另一個重要特性：頑固性。木馬病毒頑固性的評估主要看這種木馬病毒被檢測出來以后首先能不能被殺毒軟件清除，如果殺毒軟件清除不了，再利用手動清除仍然無法一次性清除的木馬病毒，說明其頑固性非常強(qiáng)。（4）有效性評估：有效性評估是指這種病毒一旦進(jìn)入目標(biāo)計(jì)算機(jī)以后能夠跟其建立某種有效的聯(lián)系，能夠達(dá)到入侵者的目的，控制目標(biāo)計(jì)算機(jī)并竊取想要的信息。一旦這種病毒能快速地與計(jì)算機(jī)達(dá)成聯(lián)系，那說明它的有效性很好。

第二，清除木馬方法。（1）自動方式：自動殺除木馬病毒最簡單的方法就是安裝殺毒軟件，如當(dāng)下比較流行的查毒軟件瑞星、金山毒霸、360安全衛(wèi)士等，都可以將網(wǎng)絡(luò)中的木馬病毒給刪除。但是木馬病毒的更新速度常常快于殺毒軟件的更新速度，一些新的木馬病毒沒有被殺毒軟件識別出來，就有可能危及電腦的程序。所以在這種情況下，就要學(xué)會手動刪除木馬病毒。（2）手動方式：手動刪除木馬病毒之前還是要先用專業(yè)殺毒軟件、殺木馬病毒軟件進(jìn)行一輪清理，因?yàn)槭謩託⒍颈仨氃趯Σ《居兴私獾那闆r下，同時有可能造成系統(tǒng)的損害等意外情況。殺毒前可將殺毒軟件的病毒庫升級，了解中了什么病毒。在查殺木馬病毒時，建議在安全模式下斷開網(wǎng)絡(luò)進(jìn)行。

手動清除時首先要做到以下幾點(diǎn)：根據(jù)殺毒軟件提供的路徑找到病毒，并進(jìn)行備份，以防刪除系統(tǒng)文件時系統(tǒng)損壞；做好注冊表的備份；在了解是什么病毒情況下用互聯(lián)網(wǎng)查找病毒的特征及清除方法。

使用手動清除木馬病毒，建議使用U1-traedit32編輯器查看可疑文件內(nèi)容，查找是否有木馬病毒特征的代碼，以確定文件是否被木馬病毒傳染，發(fā)現(xiàn)傳染病毒的文件就及時清理，接著使用注冊表編輯器刪除木馬病毒相關(guān)注冊表即可。

參考文獻(xiàn)

[1]糜旗、胡麒、宗俊珺.涉密信息系統(tǒng)的防病毒木馬方法[J].兵工自動化，2012（10）

[2]吳耀東.互聯(lián)網(wǎng)木馬病毒的分析與防范[J].科技視野，2013（8）

[3]王樹森、陳平.木馬病毒的攻擊原理與防治策略[J].軟件導(dǎo)刊，2012（6）

[4]朱明、徐騫、劉春明.木馬病毒分析及其檢測方法研究[J].計(jì)算機(jī)工程與應(yīng)用，2003（28）

[5]吳耀東.互聯(lián)網(wǎng)木馬病毒的分析與防范[J].科技視野，2013（8）

[6]王樹森、陳平.木馬病毒的攻擊原理與防治策略[J].軟件導(dǎo)刊，2012（6）

〔責(zé)任編輯：李爽〕