【特洛伊木马】

一、概念

1.特洛伊木马是一种恶意程序，是一种基于远程控制的黑客工具。
2.它隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

二、特性

1.特洛伊病毒通常不会自我繁殖，也并不刻意地去感染其他文件。
2.它通过将自身伪装吸引用户下载执行，或以捆绑在网页中的形式，当用户浏览网页时受害。
3.部分特洛伊病毒能够下载并运行任意文件、能够在被感染机器上下载并运行其它的恶意程序、能够下载并运行任意文件的特洛伊病毒。

三、危害

1.窃取信息：监视别人和盗窃别人密码，达到偷窥别人隐私和得到经济利益的目的。
2.远程控制：侵入用户计算机后，在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘。
3.破坏系统：特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序。

四、感染

特洛伊病毒由原始文件运行，有些特洛伊病毒在第一次运行时，会运行“svchost.exe”副本，并将代码注入进程，随后删除原始副本，如Win32/Chepvil.C。

五、传播

1.伪装成合法程序：通过伪装成一个合法性程序诱骗用户上当。
2.邮件传播：利用现实生活中的邮件进行散播。
3.网络传播：结合TCP/IP网络技术四处泛滥，如网络传播型木马。
4.网页挂马：黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高。
5.捆绑传播：把木马服务端和某个游戏/软件捆绑成一个文件通过QQ/MSN或邮件发给别人，或者通过制作BT木马种子进行快速扩散。