查杀木马

电脑“木马”的危害与防范

一、木马的危害：

木马这个名称来源于古希腊的特洛伊木马神话。传说希腊人攻打特洛伊城久

攻不下，希腊将领奥德修斯献了一计，把一批勇士埋伏在一匹巨大的木马腹内，

放在城外，然后佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城

中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻

下了城池。后来，人们就常用“特洛伊木马”比喻在敌方营垒里埋下伏兵里应外

合的活动。如今借用其名比喻黑客程序，有“一经潜入，后患无穷”的意思。

计算机领域中所谓的木马是指那些冒充合法程序却以危害计算机安全为目

的的非法程序。它是具有欺骗性的文件，是一种基于远程控制的黑客工具，具有

隐蔽性和非授权性的特点。隐蔽性是指木马设计者为了防止木马被发现，会采用

多种手段隐藏木马，这样用户即使发现感染了木马，也难以确定其具体位置；非

授权性是指一旦木马控制端与服务器端连接后，控制端将获得服务器端很多操作

权限，如操作文件、修改注册表、控制外设等。

木马是一种后门程序，就象先前所说的，它进去了，而且是你把它请进去的，

要怪也只能怪自己不小心，混进去的希腊士兵打开了特洛伊的城门，木马程序也

会在你的系统打开一个“后门”，黑客们从这个被打开的特定“后门”进入你的

电脑，就可以随心所欲地摆布你的电脑了。黑客们通过木马进入你的电脑后能够

做什么呢？可以这样说，你能够在自己的电脑上做什么，他也同样可以办到。你

能够写文件，他也可以写，你能够看图片，他也可以看，他还可以得到你的隐私、

密码，甚至你鼠标的每一下移动，他都可以尽收眼底!而且还能够控制你的鼠标

和键盘去做他想做的任何事，比如打开你珍藏的照片，然后在你面前将它永久删

除，或是冒充你发送电子邮件、进行网上聊天、网上交易等活动，危害十分严重。

想到木马，人们就想到病毒，这里要为木马澄清一下，木马确实被杀毒软件

认为是病毒，但是，木马本身不是病毒。反之，病毒也不是木马。电脑病毒是破

坏电脑里的资料数据，而木马不一样，木马的作用是偷偷监视别人的操作和窃取

用户信息，比如偷窃上网密码、游戏账号、股票账号、网上银行账号等。过去，

黑客编写和传播木马的目的是为了窥探他人隐私或恶作剧，而当前木马已基本商

业化，其目的直指目标计算机中的有用信息，以捞取实际的利益，并且已经形成

了一条黑色产业链。着眼于窃取文件资料的木马，以摆渡木马为典型代表，其工

作机制是能够跨过内外网之间的物理障碍，是各级涉密部门必须重点关注和防范

的对象。

木马程序虽然不是病毒，但它可以和最新病毒或是漏洞利用工具捆绑在一起

使用。当前，病毒和木马在技术上相互借鉴，在功能上相互融合，在传播上相互

配合，有的程序同时具有木马和病毒的特征，很多时候难以明确区分它到底是病

毒还是木马。病毒的传播和木马灵活的可控性结合起来，使得两者混合而成的“怪

胎”，具有更加严重的危害性。根据有关部门公布的资料显示，2008年新增木马

达到100多万个，预计2010年的时候这个数量将达到千万以上。由于木马威胁

日趋严重，它已经取代传统病毒成为网络安全的头号大敌。加之木马和病毒呈现

一体化的趋势，大多数反病毒厂商对木马和病毒已经不做严格区分，而是按照统

一规则命名，并给予更高的关注。

杀毒软件查杀木马，多是根据木马体内的特征代码来判断。因此，在网络应

用中，黑客常采用“偷梁换柱”的方法来保障木马不被查杀，黑客将合法的程序

代码镶嵌到木马程序中来欺骗杀毒软件，躲过杀毒软件的查杀。尽管现在出现了

越来越多的新版杀毒软件，可以查杀一些木马，但是不要认为使用有名厂家的杀

毒软件电脑就绝对安全，稍微高明一点的木马几乎可以躲过绝大部分杀毒软件的

查杀。可以这样说，对于上网用户而言，木马永远是防不胜防的。

二、木马的骗术：

由于普通木马并不像病毒那样具备传染性，黑客想要控制某台计算机，他就

必须采取欺骗的方式，千方百计地诱使用户运行木马程序。我们称黑客这种做法

叫做“瞒天过海”计。在网络安全的应用中，“瞒天过海”的“瞒”字可以理解

为黑客对木马进行的各种伪装,“过”字可以理解为欺骗用户，然后在用户的系

统中植入木马。木马的伪装常常需要全方位立体化的操作。木马程序伪装的对象，

一类是图片、文本文档、音频和视频等非可执行文件。计算机用户通常认为这类

文件是不可执行的就是无害的。很多时候木马程序将自身图标更换为这类文件的

图标，然后起一个极具诱惑性的文件名，再使用类似

“”、“”这样的双重后缀名，利用Windows操作系统默认的显

示特性，使用户错误地判断该文件的真实属性，然后不假思索地点击，从而达到

欺骗用户运行木马的目的。随着大家网络安全意识的提高，用图标伪装来骗人已

经非常困难，所以黑客又想出了新的伪装方法，譬如将木马伪装成合法软件。木

马常借助文件合并工具伪装成合法软件。文件合并工具可以将两个或两个以上的

可执行文件合并成一个文件，以后只需执行这个合并文件，两个可执行文件就会

同时执行。如果黑客将一个合法文件和一个木马合并，这样受害者在执行合法文

件的同时也毫无察觉地植入了木马程序，因此这种木马更加隐蔽和难以查杀。

前面讲了木马程序是如何进行伪装来欺骗用户安装的，而那些带有伪装的木

马文件是怎么传播到受害者的计算机中去的呢?总结一下主要有以下几种常见的

路径。

一是通过不良链接传播。在一些网站、论坛、博客等信息发布平台，黑客会

故意散布一些用户感兴趣的链接，诱骗用户访问不良网站或点击下载含有木马的

文件。

二是通过即时通信工具传播。在MSN、QQ等聊天过程中，一些套近乎的

陌生人发送的文件中很可能含有木马。

三是通过电子邮件传播。黑客批量发送垃圾邮件，将木马藏在邮件的附件中，

收件人只要查看邮件就会中招。现在的网络间谍攻击，手法越来越多样，越来越

隐蔽。有一家涉密单位的工作人员收到了所谓的“上级机关”发来的一封邮件，

内容是“病毒木马检测程序”。一看是自己人，来信又正好对路，工作人员没有

多想就打开信件，运行程序，结果境外间谍机关的木马一下植入了电脑中，原来

这个所谓的“上级机关”是境外网络间谍冒的名。像这样的网络间谍骗局花样繁

多，针对不同的对象会设计不同的欺骗形式。比如伪装成被攻击对象很需要且很

可信的邮件，有时点击右键甚至还会弹出诸如“无病毒"之类的提示来迷惑操作

者。

四是通过下载网站传播。一些非正规的网站以提供免费软件下载为名，将木

马捆绑在软件中。当用户下载安装这些经过捆绑的软件时，木马也随之被安进了

系统。

五是通过网页浏览传播。也就是当前流行的“网页挂马"。如果说前几种传

播途径尚需要受害者“主动”地安装木马，后者的工作原理是利用浏览器漏洞编

写带有木马的网页，或者攻破其它知名网站后，在其网页上挂上木马，当用户浏

览这些网页后，浏览器会在后台自动下载木马到目标计算机中并加以运行。

六是通过系统漏洞传播。黑客利用所了解的操作系统或软件漏洞及其特性在

网络中传播木马，其原理和蠕虫病毒如出一辙。

七是通过盗版软件传播。一些用户在计算机中安装的盗版操作系统，本身就

带有木马，在这样的系统中工作和上网，安全性自然得不到保障。当前一些盗版

的应用软件虽然打着免费的旗号，但多数也不太“干净”，要么附有广告，要么

带有木马或病毒。

很多保密单位的内部工作网与互联网是物理隔离的，但是有关部门做安全检

测时仍然从中发现了境外情报部门的木马。调查表明，一个重要的途径是摆渡攻

击，利用的是优盘、移动硬盘之类的移动存储介质。境外间谍部门专门设计了各

种各样的摆渡木马，并且搜集了大量我国保密单位工作人员的网址和邮箱，只要

这些人当中有联网使用优盘等移动存储介质的，摆渡木马就会悄悄植入移动介

质。一旦这些人违反规定在内部工作网的计算机上插入优盘等移动介质，摆渡木

马立刻就会感染内网，把保密资料下载到移动介质上。完成这样的摆渡后，只要

使用者再把这个介质接入互联网电脑，下载的情报就自动传到控制端的网络间谍

那里。摆渡木马是一种间谍人员定制的木马，隐蔽性、针对性很强，一般只感染

特定的计算机，普通杀毒软件和木马查杀工具难以及时发现，对国家重要部门和

涉密单位的、信息安全威胁巨大。

三、中了木马的征兆：

在使用计算机的过程中如果发现：

计算机反应速度变慢；

硬盘在不停地读写；

鼠标键盘不听使唤；

窗口突然被关闭；

新的窗口被莫名其妙地打开；

网络传输指示灯一直在闪烁；

系统资源占用很多；

运行了某个程序没有反映；

在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明：用户

的计算机中了木马病毒。

四、木马的防范：

鉴于木马危害的严重性，一旦感染，损失在所难免，而且新的变种层出不穷，

因此，我们在检测清除它的同时，更要注意采取措施来预防它，在平时，注意以

下几点能大大减少木马的侵入。

1、不要下载、接收、执行任何来历不明的软件或文件。在下载的时候需要

特别注意，一般推荐去一些信誉比较高的站点，尽量使用正版软件。在软件安装

之前一定要用反病毒软件检查一下，建议用专门查杀木马的软件进行检查，确定

无毒和无马后再使用。

2、不要随意打开来历不明的邮件，即使是来自朋友的邮件也不要轻信，打

开附件前必须经过杀毒。

3、不要浏览不健康、不正规的网站，这些网站都是“网页挂马”的高发地

带，访问这些网站如同“闯雷区"，非常危险。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则最

好单独开一个共享文件夹，把所有需要共享的文件都放在这个共享文件夹中，注

意千万不要将系统目录设置成共享。

5、安装反病毒软件和防火墙，最好再安装一套专门的木马防治软件，并及

时升级代码库。虽然普通防病毒软件也能基本防治木马，但查杀效率和效果赶不

上专业的木马防治软件。

6、及时打上操作系统的补丁，并经常升级常用的应用软件。不但操作系统

存在漏洞，应用软件也存在漏洞，很多木马就是通过这些漏洞来进行攻击的，微

软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的

系统本身就是一种最好的木马防范办法。

当反病毒软件发出木马警告或怀疑系统有木马时，应尽快采取措施，减少损

失。第一步，要马上拔掉网线，断开控制端对目标计算机的连接控制。第二步，

换一台计算机上网，马上更改所有的账号和密码，特别是与工作密切相关的应用

软件、网上银行、电子邮箱等，凡是需要输入密码的地方，都要尽快变更密码。

第三步，备份被感染计算机上的重要数据后，格式化硬盘，重装系统。第四步，

对备份的数据进行杀毒和木马清除处理。

木马工作机制的隐蔽性和窃取信息的便利性，使它成为黑客手中天然的“间

谍工具”。与以往诱骗用户运行木马的那种“被动”的传播方式相比，-当前木马

的传播普遍采用“主动”出击的方式，力图在最短的时间内控制更多的目标计算

机。在近几年发生的一些网络失泄密案件中，木马是窃密者的重要作案工具之一。

因此，了解木马的基本原理和掌握防治措施，已经成为信息时代每一名保密工作

者的一项紧迫任务

（注：文档可能无法思考全面，请浏览后下载，供参考。可复制、编制，期待

你的好评与关注！）