浅析木马侵袭及清除方法

姜小妹 方芳

摘要随着计算机使用的不断增加，计算机病毒也越来越受到人们的重视。本文对木马病毒入侵进行了分析，并提出了清除木马的方法。

关键词木马入侵清除

随着社会信息化技术的发展，网络已成为人们生活中不可缺少的部分。人们在工作、学习和业余等时间运用电脑，在感受网络带来益处的同时，各种各样的病毒也让使用者头痛不已，木马病毒就是其中一种。有的黑客会利用木马来盗取计算机用户的隐私去谋取利益，这给人们的生活带来了巨大的损失和危害。木马是黑客最常用的基于远程控制的工具，目前比较有名的主要有：“冰河”、“黑洞”、“黑冰”、“Bo2000”等。计算机一旦被木马病毒侵入，可能会造成信息的丢失、系统的破坏甚至系统瘫痪，所以计算机的安全问题是目前急需解决的问题。

1 木马病毒

所谓木马（全称是特洛伊木马）是利用计算机程序漏洞侵入后窃取文件的程序，它是一种与远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序。它包含两部分：服务器和控制器，黑客利用控制器进入运行了服务器（被入侵的电脑）的计算机。运行了程序的服务器，其计算机就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入计算机系统。

2 木马病毒的入侵

木马入侵计算机，一般都要完成“向目标主机传播木马”、“启动和隐藏木马”、“建立连接”、“远程控制”等环节。它的入侵方式主要有：

（1）电子邮件传播。攻击者将木马程序伪装成邮件的附件发送出去，收件人只要打开附件系统就会感染木马；（2）网络下载传播。一些非正规的网站利用木马小的特点将木马捆绑在软件安装程序上提供给用户下载，只要用户一运行这些程序，木马就会自动安装；（3）远程入侵传播。黑客通过破解密码和建立IPC$远程连接后登录到主机，将木马服务端程序复制到计算机中的文件夹，然后通过远程操作来控制木马进而达到目的；（4）利用系统漏洞植入。有时候服务器会出现漏洞，黑客便利用这些漏洞将木马植入计算机。譬如MIME漏洞，因为MIME简单有效，加上宽带网的流行，令用户防不胜防；（5）修改文件关联。隐蔽是木马常用的攻击手段，它们通常采用修改文件打开关联来达到加载的目的。著名的木马冰河就是采用这种方式。

3 木马的检测

（1）进程和端口检测。木马一般是以exe后缀形式的文件存在，因此当木马的服务器端运行时，一定会出现在进程中。查看端口的方法一般有三种：使用Windows本身自带netstat的工具，命令是C:> netstat -an ；使用Windows命令行工具fport，命令是E:software>Fport.exe ；使用图形化界面工具Active Potrs，这个工具可以监视到计算机所有打开的TCP/IP/UDP端口，还可以显示所有端口所对应程序的所在的路径。

（2）检查Win.ini和System.ini系统配置文件。在win.ini文件中，[WINDOWS]下面如果“Run=”和“Load=”等号后面结果不是空的，很可能是计算机中了木马病毒。在System.ini文件中，[BOOT]下面“shell= 文件名”，如果不是“shell=Explorer.exe”，也很可能是中了木马病毒。

（3）查看启动程序。如果木马自动加载的文件是直接通过Windows菜单上自定义添加的，一般都会放在主菜单的“开始->程序->启动”处。检查是否有可疑的启动程序，便很容易查到是否中了木马。

（4）检查注册表。注册表中木马一旦被加载，一般都会被修改。一般情况修改HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN, HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN SERVICES,HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN。目录下，查看有没有不熟悉的扩展名为EXE的自动启动文件。

（5）使用检测软件。除了手工检测木马外，还可以通过各种杀毒软件、防火墙软件和各种木马查杀工具等检测木马。

4 木马病毒的清除

检测到计算机中了木马后，马上将计算机与网路断开，然后根据木马的特征来进行清除。清除方法有：

（1）停止可疑的系统进程。木马程序在运行时会在系统进程中留下痕迹，通过查看系统进程可以发现运行的木马程序。清除木马时，首先停止木马程序的系统进程，其次修改注册表，最后清除木马文件。

（2）用木马的客户端程序清除。查看系统启动程序和注册表是否存在可疑的程序后，判断是否中了木马，如果存在木马，则查出木马文件并删除外，同时将木马自动启动程序删除。

（3）杀毒软件和查杀工具。木马程序大部分都是利用操作系统的漏洞将木马加载到系统中，利用较好较新的杀毒软件加上补丁程序，可自动清除木马程序。常用杀毒软件包括Kill3000、瑞星、木马终结者等。

（4）手工清除。在不知道木马属于何种程序的情况下应用手工清除，打开系统配置实用程序对Win.ini、System.ini进行编辑，在Win.ini中将“Run=文件名”或“Load=文件名”更改为“Run= ”或“Load= ”， 在System.ini中将“Shell=文件名”更改为“Shell=Explorer.exe”，屏蔽非法启动项，用Regedit打开注册表的键值及注册项的默认值或正常值，删除木马。

5 QQ卓越木马的查杀程序设计

掌握了木马的入侵和检测等相关知识后，我们做了一个针对QQ卓越木马的杀毒程序。整个程序的查杀毒流程如图1所示。

该程序查杀过程，首先扫描内存，接着是系统目录，然后注册表，最后对硬盘进行扫描。

内存中扫描木马进程主要用到了自定义函数FindProcByName，进程扫描开始及结束都会在状态栏及查杀结果栏中显示相应信息。自定义函数FindProcByName应用CreateToolhelp32Snapshot获取进程快照，若列表中有进程存在，用Process32First获取第一个进程的信息，若进程文件名与木马进程名字相同，则记录木马EXE程序同时记录木马DLL的程序并把他们添加到查杀列表，循环比较列表中的每个进程。若停止的话就直接跳出杀毒程序。内存扫描完之后，如果发现内存中有卓越QQ木马时，找到该木马程序的执行程序所在目录，并检测此目录下有没有木马文件，若有则进行查杀。

接着扫描注册表。主要查看系统及用户启动项的Run键值下是否有卓越QQ木马键值，若有将其删除，同时将木马计数器TrojanCnt及注册表木马计数器RegTrojanCnt加一。然后查看是否有木马文件，若有木马文件，根据卓越QQ木马键值找到其真实路径，将其.exe及.dll程序添加到查杀列表，扫描并中止该木马进程后再删除木马文件。

最后扫描硬盘。要对硬盘进行木马查杀，找到文件，经判断如果为病毒文件，将木马计数器及硬盘木马计数器加一，然后将检测结果在查杀结果中显示出。用自定义函数Length，Copy、ScanDir、CompareFileNames可以实现。

6 结束语

木马病毒不仅种类丰富，而且在运行过程中会不断进化。了解病毒的基本特性，有助于用户查杀病毒，因此安装好杀毒软件和相应查杀木马的工具，做好系统补丁升级，同时用户应提高警觉，预先采用防护措施并从技术和管理两个方面入手，完善安全防护体系，这样才能最大程度上减少病毒给广大计算机用户带来的危害。