盜號的？還是……？不太明白這啊。。。懂的給說下。謝了。。。 盜號的？

還是……？不太明白這啊。。。

懂的給說下。謝了 展開

ad51712014-06-04

特魯伊木馬病毒！

這種病毒怎麼清除？ 特洛伊木馬（Trojan horse）

完整的木馬程式一般由兩個部份組成：一個是伺服器程式，一個是控制器程式。“中了木馬”就是指安裝了木馬的伺服器程式，若你的電腦被安裝了伺服器程式，則擁有控制器程式的人就可以透過網路控制你的電腦、為所欲為，這時你電腦上的各種檔案、程式，以及在你電腦上使用的帳號、密碼就無安全可言了。

木馬程式不能算是一種病毒，但越來越多的新版的防毒軟體，已開始可以查殺一些木馬了，所以也有不少人稱木馬程式為駭客病毒。

特洛伊木馬是如何啟動的

1。 在Win。ini中啟動

在Win。ini的［windows］欄位中有啟動命令“load＝”和“run＝”，在一般情況下 “＝”後面是空白的，如果有後跟程式，比方說是這個樣子：

run=c：windowsfile。exe

load=c：windowsfile。exe

要小心了，這個file。exe很可能是木馬哦。

2。在System。ini中啟動

System。ini位於Windows的安裝目錄下，其［boot］欄位的shell=Explorer。exe是木馬喜歡的隱藏載入之所，木馬通常的做法是將該何變為這樣：shell=Explorer。exefile。exe。注意這裡的file。exe就是木馬服務端程式！

另外，在System。中的［386Enh］欄位，要注意檢查在此段內的“driver＝路徑程式名”這裡也有可能被木馬所利用。再有，在System。ini中的［mic］、［drivers］、［drivers32］這3個欄位，這些段也是起到載入驅動程式的作用，但也是增添木馬程式的好場所，現在你該知道也要注意這裡嘍。

3。利用登錄檔載入執行

如下所示登錄檔位置都是木馬喜好的藏身載入之所，趕快檢查一下，有什麼程式在其下。

4。在Autoexec。bat和Config。sys中載入執行

請大家注意，在C盤根目錄下的這兩個檔案也可以啟動木馬。但這種載入方式一般都需要控制端使用者與服務端建立連線後，將己新增木馬啟動命令的同名檔案上傳到服務端覆蓋這兩個檔案才行，而且採用這種方式不是很隱蔽。容易被發現，所以在Autoexec。bat和Confings中載入木馬程式的並不多見，但也不能因此而掉以輕心。

5。在Winstart。bat中啟動

Winstart。bat是一個特殊性絲毫不亞於Autoexec。bat的批處理檔案，也是一個能自動被Windows載入執行的檔案。它多數情況下為應用程式及Windows自動生成，在執行了Windows自動生成，在執行了Win。com並加截了多數驅動程式之後

開始執行 （這一點可透過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知）。由於Autoexec。bat的功能可以由Witart。bat代替完成，因此木馬完全可以像在Autoexec。bat中那樣被載入執行，危險由此而來。

6。啟動組

木馬們如果隱藏在啟動組雖然不是十分隱蔽，但這裡的確是自動載入執行的好場所，因此還是有木馬喜歡在這裡駐留的。啟動組對應的資料夾為C：Windowsstart menuprogramsstartup，在登錄檔中的位置：HKEY_CURRENT_USERSoftwareMicrosoftwindowsCurrentVersionExplorershell

Folders Startup=“c：windowsstart menuprogramsstartup”。要注意經常檢查啟動組哦！

7。*。INI

即應用程式的啟動配置檔案，控制端利用這些檔案能啟動程式的特點，將製作好的帶有木馬啟動命令的同名檔案上傳到服務端覆蓋這同名檔案，這樣就可以達到啟動木馬的目的了。只啟動一次的方式：在winint。ini。中（用於安裝較多）。

8。修改檔案關聯

修改檔案關聯是木馬們常用手段 （主要是國產木馬，老外的木馬大都沒有這個功能），比方說正常情況下TXT檔案的開啟方式為Notepad。EXE檔案，但一旦中了檔案關聯木馬，則txt檔案開啟方式就會被修改為用木馬程式開啟，如著名的國產木馬冰河就是這樣乾的。 “冰河”就是透過修改HKEY_CLASSES_ROOTtxtfilewhellopencommand下的鍵值，將“C：WINDOWSNOTEPAD。EXE本應用Notepad開啟，如著名的國產HKEY一CLASSES一ROOTtxt鬧eshellopencommandT的鍵值，將 “C：WINDOWSNOTEPAD。EXE%l”改為 “C：WINDOWSSYSTEMSYSEXPLR。EXE%l”，這樣，一旦你雙擊一個TXT檔案，原本應用Notepad開啟該檔案，現在卻變成啟動木馬程式了，好狠毒哦！請大家注意，不僅僅是TXT檔案，其他諸如HTM、EXE、ZIP。COM等都是木馬的目標，要小心摟。

對付這類木馬，只能經常檢查HKEY_Cshellopencommand主鍵，檢視其鍵值是否正常。

9。捆綁檔案

實現這種觸發條件首先要控制端和服務端已透過木馬建立連線，然後控制端使用者用工具軟體將木馬檔案和某一應用程式捆綁在一起，然後上傳到服務端覆蓋原始檔，這樣即使木馬被刪除了，只要執行捆綁了木馬的應用程式，木馬義會安裝上去。繫結到某一應用程式中，如繫結到系統檔案，那麼每一次Windows啟動均會啟動木馬。

10。反彈埠型木馬的主動連線方式

反彈埠型木馬我們已經在前面說過了，由於它與一般的木馬相反，其服務端 （被控制端）主動與客戶端 （控制端）建立連線，並且監聽埠一般開在80，所以如果沒有合適的工具、豐富的經驗真的很難防範。這類木馬的典型代表就是網路神偷“。由於這類木馬仍然要在登錄檔中建立鍵值登錄檔的變化就不難查到它們。同時，最新的天網防火牆（如我們在第三點中所講的那樣），因此只要留意也可在網路神偷服務端進行主動連線時發現它。

WORM_NUGACHE。G（威金）和TROJ_CLAGGE。B 特洛伊木馬（Trojan horse