什么是木马？一篇文章给你讲清楚

 木马病毒（Trojan horse virus）是一种恶意软件，其名称源自希腊神话中的“特洛伊木马”。它通常隐藏在看似正常的程序或文件中，并伪装成合法的软件或文件，诱使用户下载、安装或执行。一旦用户启动了这些木马程序，它们就会开始执行其恶意代码，可能导致系统被入侵、数据被盗取、系统受损或被控制。

 

 

木马病毒的原理通常涉及以下几个步骤：

1. **伪装**: 木马病毒通常伪装成吸引人的文件或程序，比如电影、游戏、软件补丁等。它们可能会使用诱人的文件名、图标和描述，以欺骗用户并使其误以为这是正常、安全的文件。

 

2. **传播**: 木马病毒可以通过各种方式传播，包括电子邮件附件、下载的文件、恶意链接、USB驱动器等。一旦用户打开了被感染的文件或程序，木马病毒就会开始在系统中执行其恶意代码。

 

3. **安装**: 一旦木马病毒被执行，它会尝试在受感染的系统中安装自己，通常会将自己的文件复制到系统文件夹或其他目录，并修改系统设置以确保其在系统启动时自动运行。

 

4. **执行恶意操作**: 木马病毒的主要目的是执行其设计者预先编写的恶意操作。这些操作可能包括但不限于窃取个人信息（如账号密码、银行信息）、远程控制系统、拒绝服务攻击、破坏文件或系统等。

 

5. **隐藏行踪**: 为了避免被检测和清除，木马病毒通常会采取措施来隐藏自己的存在，如修改系统文件、隐藏进程、反动态分析等。

木马病毒通常是基于计算机网络的，是基于客户端和服务端的通信、监控程序。客户端的程序用于黑客远程控制，可以发出控制命令，接收服务端传来的信息。服务端程序运行在被控计算机上，一般隐藏在被控计算机中，可以接收客户端发来的命令并执行，将客户端需要的信息发回，也就是常说的木马程序。

木马病毒

木马病毒可以发作的必要条件是客户端和服务端必须建立起网络通信，这种通信是基于IP地址和端口号的。藏匿在服务端的木马程序一旦被触发执行，就会不断将通信的IP地址和端口号发给客户端。客户端利用服务端木马程序通信的IP地址和端口号，在客户端和服务端建立起一个通信链路。客户端的黑客便可以利用这条通信链路来控制服务端的计算机。

运行在服务端的木马程序首先隐匿自己的行踪，伪装成合法的通信程序，然后采用修改系统注册表的方法设置触发条件，保证自己可以被执行，并且可以不断监视注册表中的相关内容。发现自己的注册表被删除或被修改，可以自动修复。(百度百科)

总的来说，木马病毒通过欺骗用户和潜在的恶意操作，以获取未经授权的访问权限和执行恶意活动的能力。因此，保持系统和软件的更新、谨慎下载和执行未知来源的文件、安装可信的安全软件等措施对于木马病毒可以以多种形式存在，具体取决于其设计者的目标和用途。以下是一些常见的木马病毒形式：

 

1. **可执行文件**: 木马病毒可以以可执行文件的形式存在，通常具有常见的可执行文件扩展名，如.exe、.dll、.bat等。用户可能会误以为这些文件是正常的程序或工具，但实际上它们包含了恶意代码。

 

2. **文档文件**: 木马病毒也可以隐藏在文档文件中，如Microsoft Office文档（.doc、.xls、.ppt等）、PDF文档等。这些文档可能会利用文档编辑软件的漏洞来执行恶意代码，或者包含链接到下载木马病毒的恶意网站。

 

3. **脚本文件**: 木马病毒可以以脚本文件的形式存在，如JavaScript、VBScript、PowerShell等。这些脚本可能会被植入到网页中，或者作为附件发送给用户，利用用户的执行来激活恶意代码。

 

4. **嵌入式代码**: 木马病毒还可以作为嵌入式代码存在于其他程序或文件中，如网络流量、图像文件、音频文件等。这种形式的木马病毒通常需要特殊的技术和工具来检测和清除。

 

5. **远程下载器**: 木马病毒有时会被设计成远程下载器，它们会在受感染的系统上下载并执行其他恶意软件。这种形式的木马病毒可以通过更新其下载链接来不断改变其功能和行为。

木马病毒可以采用多种形式存在，以适应不同的攻击场景和目标。因此，用户在使用电脑时应保持警惕，避免下载和执行未知来源的文件，及时更新系统和软件，以要杀掉木马病毒，你需要采取一系列步骤来清除系统中的恶意软件。以下是一些常用的方法：

1. **使用安全软件**: 运行受信任的安全软件（如杀毒软件、反恶意软件程序等）对系统进行全面扫描，以检测和清除木马病毒。确保你的杀毒软件和反恶意软件程序是最新版本，并且其病毒库也是最新的，以提高检测和清除木马病毒的效果。

.2**安全模式扫描**: 在安全模式下启动计算机，并运行安全软件进行系统扫描。安全模式可以减少木马病毒对系统的影响，并提高清除恶意软件的成功率。

 

3. **手动清除**: 对于高级用户，可以尝试手动清除木马病毒。首先，确定受感染的文件和进程，并结束相关的恶意进程。然后，删除木马病毒的文件和注册表项，确保彻底清除。但请注意，手动清除可能会有风险，建议在专业人士的指导下进行。

 

4. **系统恢复**: 如果你发现清除木马病毒后系统仍存在问题，可以尝试使用系统还原功能将系统恢复到先前的安全状态。这将使系统回到木马病毒感染之前的状态，但也可能导致数据丢失，因此请确保提前备份重要数据。

5. **格式化和重装操作系统**: 如果木马病毒对系统造成了严重的破坏，或者无法通过其他方法清除，最后的选择是格式化硬盘并重新安装操作系统。这将彻底清除系统中的所有恶意软件，但同时也会导致数据丢失，因此请务必提前备份重要数据。

清除木马病毒需要采取综合的措施，包括使用安全软件、安全模式扫描、手动清除、系统恢复以及格式化和重装操作系统等。在进行清除操作之前，请确保备份重要数据，并谨慎操作以避免进一步损坏系统。如果你不确定如何操作，建议寻求专业人士的帮助。降低木马病毒感染的风险。预防木马病毒的感染至关重要。

网游木马

随着网络在线游戏的普及和升温，中国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时，以盗取网游账号密码为目的的木马病毒也随之发展泛滥起来。[3]

网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和账号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。[3]

二、网银木马

网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。

网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。2013年，安全软件电脑管家截获网银木马最新变种“弼马温”，弼马温病毒能够毫无痕迹的修改支付界面，使用户根本无法察觉。通过不良网站提供假QVOD下载地址进行广泛传播，当用户下载这一挂马播放器文件安装后就会中木马，该病毒运行后即开始监视用户网络交易，屏蔽余额支付和快捷支付，强制用户使用网银，并借机篡改订单，盗取财产。[3]

随着中国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。[3]

三、下载类

这种木马程序的体积一般很小，其功能是从网络上下载其他病毒程序或安装广告软件。由于体积很小，下载类木马更容易传播，传播速度也更快。通常功能强大、体积也很大的后门类病毒，如“灰鸽子”、“黑洞”等，传播时都单独编写一个小巧的下载型木马，用户中毒后会把后门主程序下载到本机运行。

四、代理类

用户感染代理类木马后，会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目的。

五、FTP木马

FTP型木马打开被控制计算机的21号端口(FTP所使用的默认端口)，使每一个人都可以用一个FTP客户端程序来不用密码连接到受控制端计算机，并且可以进行最高权限的上传和下载，窃取受害者的机密文件。新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。[3]

六、通讯软件类

常见的即时通讯类木马一般有3种：

（1）发送消息型

通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口，进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告，如“武汉男生2005”木马，可以通过MSN、QQ、UC等多种聊天软件发送带毒网址，其主要功能是盗取传奇游戏的账号和密码[3]

（2）盗号型

主要目标在于即时通讯软件的登录账号和密码。工作原理和网游木马类似。病毒作者盗得他人账号后，可能偷窥聊天记录等隐私内容，在各种通讯软件内向好友发送不良信息、广告推销等语句，或将账号卖掉赚取利润。[3]

（3）传播自身型

2005年初，“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后，MSN推出新版本，禁止用户传送可执行文件。2005年上半年，“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播，感染用户数量极大，在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析，发送文件类的QQ蠕虫是以前发送消息类QQ木马的进化，采用的基本技术都是搜寻到聊天窗口后，对聊天窗口进行控制，来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。

七、网页点击类

网页点击类木马会恶意模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单，一般只是向服务器发送HTTP GET请求。