木马病毒原理及特征分析

GDGM-QR-03-077-B/1Guangdong College of Industry & Commerce毕业综合实践报告Graduation synthesis practice report题目：计算机木马病毒及防治(in En glish) Computer Trojan virus research and prevention系别：班级：学生姓名：学号：指导老师：完成日期：目录一、计算机木马病毒的概述及现状 (1)（一）计算机木马病毒的概念 (1)（二）木马病毒的原理 (1)（三）木马病毒的特征 (3)（四）木马病毒的危害 (3)（五）计算机木马病毒发展 (4)二、计算机木马病毒的伪装方式 (5)（一）修改图标 (5)（二）捆绑文件 (5)（三）出错显示 (5)（四）定制端口 (5)（五）自我销毁 (5)（六）木马更名 (6)三、计算机木马病毒的防治 (6)（一）如何查出木马 (6)1、检测网络连接 (6)2、禁用不明服务 (6)3、检查系统账户 (6)4、对比系统服务项 (7)（二）如何删除木马病毒 (7)1、禁用系统还原 (7)2、安全模式或VGA模式 (8)（三）如何防范木马病毒 (8)1、截断传染源 (8)2、加强计算机防护 (8)3、善用账号保护工具 (8)四、几款免费的木马专杀工具 (9)（一）冰刃 (9)（二）Windows清理助手 (9)（三）恶意软件清理助手 (9)（四）Atool软件 (9)（五）Windows恶意软件删除工具(mrt.exe) (10)五、结束语 (10)参考文献 (11)内容提要随着信息化时代的到来人类社会生活对因特网的需求日益增长，使得计算机网络技术迅速发展和普及。

因特网使得全世界都联系到了一起。

极大的促进了全球一体化的发展。

但是随着互联网的普及和应用的不断发展，各种黑客工具和网络手段导致网络和用户收到财产损失，其中最严重的就是木马攻击手段。

什么是木马病毒（Trojan）木马（Trojan）这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。

运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

[编辑本段]木马病毒的原理一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。

植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。

运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。

木马分析报告1. 引言木马（Trojan），又称为“特洛伊木马”，是指通过伪装成正常合法程序或文件进入目标系统，并在未被用户察觉的情况下，对系统进行非法操作的恶意软件。

木马程序的存在给系统安全带来了重大威胁，因此，对木马进行深入分析和研究十分必要。

本文将对一款木马进行分析，并对其传播方式、特征和危害进行探讨。

2. 木马的传播方式木马程序主要通过以下几种方式进行传播： 1. 邮件附件：木马程序常常伪装成诱人的附件，通过邮件发送给用户，一旦用户点击或下载附件，木马程序就会悄悄安装和运行。

2. 网络下载：用户在未经过恶意网站的仔细筛选的情况下，下载了含有木马的软件或文件，木马程序就会被安装到用户的系统中。

3. 可移动存储介质：如U盘、移动硬盘等存储介质中含有木马程序，只要用户将这些介质连接到自己的电脑上，木马程序就会被植入系统。

4. 动态链接库：木马程序可能会以DLL（Dynamic-Link Library）的形式出现，通过注入到正常进程中，实现对系统的控制。

3. 木马的特征为了能够更好地进行木马防护，我们需要了解木马的一些特征： 1. 欺骗性：木马程序通常伪装成合法可信的程序或文件，例如常见的.exe、.doc、.pdf等，以迷惑用户进行安装或下载。

2. 启动项修改：木马程序常常会修改系统的启动项，以保证自己能够在系统启动时自动运行，从而实现长期隐藏控制。

3. 远程控制：木马程序通常与远程服务器建立连接，以便黑客能够远程控制被感染的系统，进行各种操控、监控和窃取敏感信息等操作。

4. 系统资源占用增加：木马程序运行时会消耗大量系统资源，例如CPU和内存，从而降低系统的整体性能。

5. 网络流量增加：木马程序会通过网络上传、下载数据，导致网络流量明显增加，对网速造成影响。

4. 木马的危害与预防木马程序给系统带来的危害非常严重，包括但不限于以下几个方面： 1. 数据窃取：木马程序可以利用系统权限，窃取用户的个人隐私数据，例如登录名、密码、银行账号等。

目前智能手机系统上的木马病毒程序已经泛滥，特别是Android系统开源且水货、刷机行为较多，成为木马病毒的主要攻击方向。

Android系统的木马病毒系统可分为如下主要特征：1、获取硬件信息，如IMEI、IMSI等2、访问特定网站，增加流量或通话费用3、窃取用户通话及短信信息4、窃取用户键盘输入的敏感信息在以上特点中，第三和第四点对手机银行的危险性最大，木马能够窃取客户输入的用户名、密码以及手机交易码信息，并发送远程服务器。

1、窃取用户通话及短信信息木马介绍2011年11月，信息安全厂商卡巴斯基发表分析文章，介绍智能手机ZitMo （ZeuS-in-the-Mobile）木马是如何盗取用户重要数据的。

手机交易码曾被认为是最可靠的网银安全保护措施之一。

然而，随着专门针对智能手机的ZeuS木马出现，特别是ZeuS-in-the-Mobile或ZitMo–mTANs的出现，手机交易码已不能确保用户的重要数据不会落入网络罪犯的手中。

ZitMo 于2010年9月首次被检测到，专门用来盗取由银行发送的短信息中的mTAN 代码，也是迄今为止最受关注的手机安全事件之一。

网络安全专家分析称，“首先，该病毒具有跨平台传播的能力，无论是Symbian、Windows Mobile、Blackberry和Android系统，都被检测到了这种木马，其目的主要是将手机交易码短信息转发给网络罪犯(或者是一台服务器)，后者进而可以利用这些被侵入的银行账户进行非法交易。

但是，ZitMo最大的特点是它与台式计算机木马ZeuS背后的关系。

如果没有后者的话，ZitMo仅仅能起到一个转发短信息的间谍程序作用。

而通过它们之间的…团队合作‟，网络罪犯才能成功的避开保护网银安全所使用的mTAN安全设置。

”这种攻击方式的精心安排通常有以下几个步骤：网络罪犯首先使用台式计算机版的ZeuS来盗取必要的数据，以便进入网银账户并收集用户的手机号码。

受害者的手机收到一条要求升级安全证书或其它重要软件的短信。