黑客24小时在线接单网站

木马病毒的传播有哪些途径

木马传播的三种途径和解决方法

常常电脑用户反映感染了木马病毒，然而使用杀毒软件能查到木马但不能清除或木马被清除后再次开机又重复出现的现象。

之所以常发生上述两种情况，原因主要有以下几点。很多木马使用了进程保护技术 ，在WINDWOS正常模式下很难被杀毒软件清除，遇到这种情况，用户可以重新启动电脑，同时按住F8键，选择进入安全模式状态并运行杀毒软件全盘查杀病毒；对于一些木马被清除后又反复出现的问题，主要因为木马修改了注册表键值，杀毒软件只清除了木马病毒文件，木马在注册表里写入的键值仍然存在，这样当电脑重新启动后，木马会自动重新写一份病毒文件，从而导致木马屡杀不绝。解决这种问题的情况当然是手工清理注册表了，这对于有一定电脑知识基础的读者来说并不困难，普通读者也可在熟悉电脑的朋友的指导下尝试手工清理注册表。运行REGEGDIT文件，打开注册表编辑器，使用任务栏中的“编辑-查找”功能，将木马病毒文件名作为关键词，找出相关的键值，并将找到的木马添加的键值直接删除。再次全盘查杀硬盘，重启电脑，这样木马病毒就不会重复生成了。

以上只是针对已感染木马的用户提出的两种解决方法，当然最好的办法是不让木马病毒进入你的电脑，安装杀毒软件并打开病毒实时监控，及时升级病毒库，不要随意运行不明文件以及下载一些不安全软件外，打上各种系统漏洞补丁，以封堵木马入侵的所有入口。

木马知识

1、下载器病毒首次成互联网最大威胁

下载器病毒是近年来新出现的一种病毒类型。该类型病毒与木马不同，一般本身并不具备盗取用户信息等行为，而是通过破坏杀毒软件，然后再从指定的地址下载大量其他病毒、木马进入用户电脑，进而通过其他病毒木马实现其非法目的。

据金山毒霸全球反病毒监测中心统计，2008年上半年发现的新病毒中下载器病毒增长最为迅猛，已经成为木马的主要源头之一。

从上半年的10大病毒列表可以看出“机器狗”、“磁碟机”、“AV终结者”等病毒，其程序的主要功能是破坏电脑“保安”系统，利用各种手段破坏杀毒软件，然后启用另一个主要功能：疯狂下载多种多样的木马，由攻击发起者定制下载列表，可随时更新所下载木马的版本和数量。下载器和盗号木马的区别在工作重点不同，前者是手段，后者去实现入侵的目的。

下载器病毒可以说是病毒流程化入侵的第一步。一旦用户电脑遭遇下载器病毒入侵，通常电脑内将会发现几种甚至几十种木马，而且这些木马将几乎涉及市面上所有流行的在线游戏的盗号木马，危害非常严重。

2、第三方软件漏洞成病毒攻击热点

第三方软件，通俗讲既非系统本身自带的软件（含操作系统本身和自带的应用程序），其他包含应用类软件均可称为第三方软件；例如：QQ、Adobe Reader等。

第三方软件漏洞是指一些第三方软件，由于自身软件设计的原因，在他们提供给IE的组件上，存在一些漏洞，而这些漏洞会被黑客以及恶意网站利用；在用户浏览网页过程中，通过漏洞下载木马病毒入侵用户系统；进行远程控制、盗窃用户的帐号和密码等，从而使用户遭受到损失。

随着微软操作系统的安全性的日益加强以及用户对系统漏洞警惕性的提升，病毒已经很难再利用系统漏洞大施拳脚，而第三方流行软件的漏洞越来越多地被病毒利用。以Adobe Flash Player漏洞为例，Adobe Flash Player 9 .0.115 在播放恶意构造的swf时，会自动下载一个可执行文件并执行，而swf文件可能会自动下载一个病毒下载器并运行，然后再由这个病毒下载器下载其他预先指定的木马程序，危险指数非常高。

3、病毒与安全软件之间的对抗日益加剧

纵观08年上半年的一些流行病毒，如机器狗、磁碟机、AV终结者等等，无一例外均为对抗型病毒。而且一些病毒制作者也曾扬言“饿死杀毒软件”。对抗杀毒软件和破坏系统安全设置的病毒以前也有，但08年上半年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀病毒的力度，使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样，如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。

08年上半年，病毒与杀毒软件对抗特征主要表现为对抗频率变快,周期变短,各个病毒的新版本更新非常快,一两天甚至几个小时更新一次来对抗杀毒软件。

自07年以来，病毒流程化攻击的特点越发明显，而流程化攻击的重要一步就是对抗安全软件。病毒进入用户电脑后，首先终止安全软件的运行，使杀毒软件无法正常运行，进而下载大量其他病毒到用户电脑中，给用户的个人网络财产安全带来严重威胁。

4、 “老”病毒泛滥 “明星”病毒减少

近年来，类似魔鬼波、熊猫烧香、灰鸽子等重大恶性病毒，凭借其传播广泛、破坏性强等特点，迅速成为病毒“明星”，为广大电脑用户所“熟知”。然而随之而来的各大安全厂商的追杀，广大用户的喊打，很快这些“明星”病毒就会被打压下去，病毒作者也会面临身陷囹圄的危险。因此一些重大的恶性病毒出现的机会在逐步减少。而与此相对应的，单个病毒、木马只入侵几千台电脑，甚至只入侵指定的某个IP地址段内的电脑，虽然这类病毒的攻击范围很小，但针对性更强，而且由于同类病毒的总量庞大，因此破坏性也是不容忽视的。

下载器病毒的泛滥导致了一些“老”病毒枯木逢春。2008年上半年，病毒下载器数量猛增，这些下载器一旦成功进入用户电脑，大量的木马将蜂拥而至。在这些木马中，有很多是早在几年前就能被杀毒软件清除掉的老木马。但由于下载器在下载木马之前已经将电脑内的安全软件屏蔽掉，因此即使这些能够被杀毒软件查杀的老木马也能够很“安全”的完成盗取用户信息的目的，这也从另一个方面促使黑色产业链的从业者加强了以破坏杀毒软件为目的的程序开发。

传播木马或病毒的途径，有哪些？详细越好。。。

12.1.2 木马的工作原理（2）

http://book.51cto.com 2008-07-21 15:26 李匀 电子工业出版社博文视点 我要评论(0)

摘要：《网络渗透测试——保护网络安全的技术、工具和过程》第12章木马和后门的运用,这一章主要介绍考察木马、病毒及后门应用程序,还会介绍一些恶意黑客和渗透测试人员使用的著名病毒、木马及后门程序，最后讨论如何检测这些恶意软件及在网络上预防这些恶意软件攻击的步骤，本节为木马的工作原理。

标签：网络安全 Web 恶意软件 攻击 网络渗透测试

Oracle帮您准确洞察各个物流环节12.1.2 木马的工作原理（2）3．木马的启动方式作为一个优秀的木马，自启动功能是必不可少的。自启动可以保证木马不会因为用户的一次关机操作而彻底失去作用。正因为该项技术如此重要，所以很多编程人员都在不停地研究和探索新的自启动技术。一个典型的例子就是把木马加入到用户经常执行的程序（例如Explorer.exe）中，当用户执行该程序时，木马就自动执行并运行。当然，更加普遍的方法是通过修改Windows系统文件和注册表实现自启动。实现自启动的常用方法包括下述几种，通过启动组实现自启动这也是一种很常见的方式，很多正常的程序都用它，大家常用的QQ就是用这种方式实现自启动的，但木马很少使用这种方式，原因在于启动组的每个程序都会出现在“系统配置实用程序”（msconfig.exe，以下简称msconfig）中。事实上，出现在“开始”菜单的“程序\启动”中足以引起普通人的注意，所以，极少有木马使用这种启动方式。在Win.ini文件中启动同启动组一样，这也是从Windows3.2开始就可以使用的方法，是从Win16遗传到Win32的。在Windows3.2中，Win.ini就相当于Windows9x中的注册表，在该文件中的[Windows]域中的load和run项会在Windows启动时运行，这两个项目也会出现在msconfig中，这种方法也不很适合木马使用。在System.ini文件中启动System.ini文件位于Windows安装目录下，其中[Boot]节中的Shell= Explorer.exe是经常被用于隐藏加载木马的地方。通常的做法是将该项变为Shell= Explorer.exe Sample.exe。这里的Sample.exe是某个木马服务端程序。我们可以在"Explorer.exe"后加上木马程序的路径，这样Windows启动后木马也就随之启动，而且即使是安全模式启动也不会跳过这一项，这样木马也就可以保证永远随Windows启动了，名噪一时的尼姆达病毒就使用了这种方法。这时，如果木马程序也具有自动检测添加Shell项的功能的话，那简直是天衣无缝的绝配，我想除了使用查看进程的工具中止木马，再修改Shell项和删除木马文件外没有别的破解之法了。但这种方式也有先天不足，因为只有一个Shell项，如果有两个木马都使用这种方式实现自启动，那么后来的木马可能会使前一个木马无法启动，此所谓以毒攻毒。System.ini文件中的［386Ehn］节的“driver=路径\程序名”也可以用来实现自启动。此外，System.ini中的［mic］、［drivers］、［drivers32］也是加载程序的好地方。在*.ini文件中启动后缀为.ini的文件是系统中应用程序的启动配置文件，木马程序利用这些文件能够自启动应用程序的特点，将制作好的、带有木马服务端程序自启动命令的文件上传到目标主机中，这样就可以达到启动木马的目的了。通过修改文件关联启动修改文件关联是木马常用手段，例如，在正常情况下，.txt文件的打开方式为Notepad.exe文件，但一旦中了文件关联木马，则.txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样。冰河木马通过修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C:\WINDOWS\notepad.exe %1”修改为“%SystemRoot%\system32\sysexplr.exe %1”，实现该木马的启动。只要用户双击任意一个.txt文件，原本应该使用notepad.exe程序打开.txt文件，现在就变成启动Windows system32目录下的sysexplr.exe木马程序了。需要提醒读者的是，不仅仅是.txt文件，其他如html、JPG、Zip、rar等扩展名都是木马作者制定自动启动方案的目标。通过捆绑文件方式启动木马和正常程序捆绑，有点类似于病毒，程序在运行时，木马程序先获得控制权或另开一个线程以监视用户操作，截取密码等，这类木马编写的难度较大，需要了解PE文件结构和Windows的底层知识（直接使用捆绑程序除外）。使用著名的黑客软件Deception Binder就可以实现木马与正常程序的捆绑。这是国外的一款文件合并器，小巧而功能强大。能够捆绑任意格式（包括.txt、.jpg）文件；能够设置打开文件是否隐蔽运行；能够设置打开文件是否加入注册表启动项；能够设置打开文件时是否显示错误信息以迷惑对方等。当木马程序连接到Notepad时，其结果会显示为Notepad，而且执行时也像是Notepad，但同时也会执行木马程序。通过将特定的程序改名方式启动这种方式常见于针对QQ的木马，如将QQ的启动文件QQ2000b.exe，改为 QQ2000b.ico.exe（Windows默认不显示扩展名，因此它会被显示为QQ2000b.ico，而用户会认为这是一个图标），再将木马程序改为QQ2000b.exe，此后，用户运行QQ，实际上运行了QQ木马，再由QQ木马去启动真正的QQ，这种方式实现起来很简单。通过Autoexec.bat文件，或winstart.bat，config.sys文件启动其实这种方法并不适合木马使用，因为该文件会在Windows启动前运行，此时系统处于DOS环境，只能运行16位应用程序，Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过，这并不是说它不能用于启动木马。可以想像，SoftIce for Win98（功能强大的程序调试工具，被黑客奉为至宝，常用于破解应用程序）也是先要在Autoexec.bat文件中运行然后才能在Windows中显示窗口，进行调试，既然如此，谁能保证木马不会这样启动呢?通过注册表启动这里通常有两组注册表项供使用。下面分别予以简要介绍。通过下面的三个注册表项：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 这是很多Windows程序都采用的方法，也是木马最常用的方法。它的使用非常方便，但也容易被人发现，由于其应用太广，所以几乎提到木马，就会让人想到这几个注册表项中的主键，通常木马会使用最后一个。使用Windows自带的程序msconfig或注册表编辑器（regedit.exe）都可以将它轻易的删除，所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件，以便实时监视注册表中自身的启动键值是否存在，一旦发现被删除，则立即重新写入，以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止，启动键值就无法删除（手工删除后，木马程序又自动添加上了），相反的，不删除启动键值，下次启动Windows还会启动木马。怎么办呢?其实破解它并不难，即使在没有任何工具软件的情况下也能轻易解除这种互相保护。破解方法是，首先，以安全模式启动Windows，这时，Windows不会加载注册表中的项目，因此木马不会被启动，相互保护的状况也就不攻自破了，然后，你就可以删除注册表中的键值和相应的木马程序。采用这种启动方式的典型木马包括：BO2000、GOP、NetSpy、IEthief、冰河等。通过下面的三个注册表项： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

这种方法好像使用的人不是很多，但隐蔽性比上一种方法好，它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似，会在Windows启动时启动，但Windows启动后，该键值下的项目会被清空，因而不易被发现，但是只能启动一次，木马如何能发挥效果呢？其实很简单，不是只能启动一次吗？那木马启动成功后再在这里添加一次不就行了吗？在Delphi中这不过三五行程序。虽说这些项目不会出现在msconfig中，但是在Regedit中却可以直接将它删除，那么木马也就从此失效了。还有一种控制再次启动的方法，它不是在启动的时候添加注册表项，而是在退出Windows的时候添加，这就要求木马程序本身要截获Windows的消息，当发现关闭Windows消息时，暂停关闭过程，添加注册表项目，然后才开始关闭Windows，这样使用Regedit也找不到它的踪迹了。这种方法也有个缺点，就是一旦Windows异常中止（比如断电），木马也就失效了。另外使用这三个键值并不完全一样，通常木马会选择第一个，因为在第二个键值下的项目会在Windows启动完成前运行，并等待程序结束后才会继续启动Windows。采用这种启动方式的典型木马包括Happy99等。4．黑客欺骗用户运行木马的方法木马是一个软件，它由使用者传播或种植，而不会“长腿”自己跑到用户的机器上，正像《特洛伊》剧情中描述的一样，木马往往是用户自己将其带进计算机中的。有了木马程序，如果没有高超的骗术，木马也无用武之地，因此，这里将简单地介绍几种网络上流行的欺骗方法，目的是让读者了解这些骗术的内容，如果遇到类似情况，也可以当场揭穿而不会付出城池失守的代价。捆绑欺骗把木马服务端和某个游戏，或者Flash文件捆绑成一个文件通过QQ或邮件发给受害者。当受害者对这个游戏或者Flash文件感兴趣而下载到机器上，而且不幸打开了文件后，就会被种植上木马。受害者会看到游戏程序正常打开，但却不会发觉木马程序已经悄悄运行。这种方法可以起到很好的迷惑作用，而且即使受害者重装系统，如果用户保存了那个捆绑文件，还有可能再次中招。邮件冒名欺骗现在上网的用户很多，但其中一些用户的电脑知识并不丰富，防范意识也不强，当黑客用匿名邮件工具冒充用户的好友或大型网站、政府机构向目标主机用户发送邮件，并将木马程序作为附件。用户看到发送者的名字是某知名网站或大型机构，而附件命名为调查问卷，注册表单等，用户就有可能毫无戒心地打开附件，从而种植上木马。压缩包伪装这个方法比较简单，也比较实用。首先，将一个木马和一个损坏的Zip/Rar文件包（可自制）捆绑在一起，生成一个后缀名为.exe的文件。然后指定捆绑后的文件为Zip/Rar文件图标，这样一来，除了后缀名与真正的Zip/Rar文件不同，执行起来却和一般损坏的Zip/Rar文件没什么两样，用户可能根本不知道木马已经在悄悄运行了。网页欺骗也许读者在网上都有这样的经历，当用户在聊天的时候，入侵者发给用户一些陌生的网址，并且说明网站上有一些比较吸引人的东西或者热门的话题。如果用户不够警惕，或者好奇心较强，不幸单击了这个链接，在网页弹出的同时，用户的机器也可能已经被种植了木马。

欺骗的方法多种多样，并且随着时间的推移，新的方法和手段也都会被发明出来。

木马病毒是通过什么方式传播的?他们是怎样盗号的?

有些是为了显示自己的技术，这些人一般也不会针对个人用户，

更多的是为了窃取帐号密码，

而且现在的黑客软件很容易得到，

使得更多的别有用心的人利用来牟利。

建议不要去不知名网站，

不要随便打开附件，

不要随便下在可执行程序。

更多的是为了获得经济利益

1、什么是电脑病毒？

也许我们曾听人说过：“电脑有病毒了，赶紧找杀毒软件！”电脑又不是动物和人类，它怎么会有病毒呢？其实，所谓的电脑“病毒”，并不是生物学上的病毒，会导致接触电脑的人生病同，得感冒、肝炎之类的病，而是由人所编写的，存在电脑中的一种短小、特殊的程序，这种程序平时处于“安静”状态，并不马上发作，在一定情况下，它就会发作，对电脑系统造成破坏。例如，小球病毒就是一种电脑病毒，它发作时，会出现许多跳跃的小球，再提示“你的电脑成为石头！”接着，电脑中的数据就慢慢被破坏掉了。使计算机无法启动。另外，蠕虫病毒能通过网络邮件系统快速自动扩散传播，在短时间内造成大面积网络阻塞或造成世界的互联网络瘫痪。有一些病毒还可以通过网络任意控制你的计算机，并获得重要文件等等。电脑病毒能够像生物病毒一样，在许多电脑之间传播，危害极大。电脑可以通过软件盘、网络传播，使电脑“生病”。

2、病毒的特征：

(1)传染性：可通过各种途径传播。

(2) 隐藏性：计算机病毒总是以欺骗的方式隐藏在各种文件中。

(3)潜伏性

(4) 破坏性

(5)未知性：病毒的技术在不断更新，不断会有新的病毒产生。

3．传播途径：

(1)硬件设备

(2) 移动存储设备

(3)网络

4、电脑的病毒有许多种类，大体上可分为以下几类：

(1)引导型病毒

(2)可执行文件病毒

(3)宏病毒

(4)混合型病毒

(5)特洛伊木马型病毒

(6)Internet语言病毒

5、病毒的预防：

(1)不使用盗版或来历不明的软件

(2) 购买了新的机子、硬盘、软件等要进行病毒检测。

(3)随时注意各种异常现象。

(4)拥有一套正版杀毒软件。

(5)经常将防毒软件升级。

游盘现在也是传播病毒的一种新途径

病毒木马是怎样在网络上传播的

木马病毒传播途径大约有以下四种：

1，感染病毒的电脑自动扫描其他电脑，通过程序漏洞自动传播 复制安装

2，从其他网络上下载的软件被人捆绑有木马病毒

3，计算机系统程序存在有漏洞，被别人利用漏洞入侵并上传了病毒

4，访问的网页文件代码利用系统或者IE等漏洞编写，自动下载病毒

木马病毒的传播有哪些途径？

传播途径: 捆绑欺骗。把木马服务端和某个游戏捆绑成一个文件在QQ或邮件发给别人。服务端运行后会看到游戏程序正常打开，却不会发觉木马程序已经悄悄运行，可以起到很好的迷惑作用。而且即使别人以后重装系统了，他还是保存你给他的这个“游戏”的话，还是有可能再次中招。 zip伪装。这个方法是最新的，将一个木马和一个损坏的zip包（可自制）捆绑在一起，然后指定捆绑后的文件为zip图标，这样一来，除非别人看了他的后缀，否则点下去将和一般损坏的zip没什么两样，根本不知道其实已经有木马在悄悄运行了。 在某个公文包或者可以上传附件的论坛传上捆绑好的木马，然后把链接发给受害者 防止措施: 需要注意很多：给系统打补丁（主要防网页木马）、屏蔽端口、关闭不需要的服务、补上漏洞（例如135、1433、3389等弱口令）、等等。。。自己还要会查看任务管理器、注册表、服务，单纯依靠工具是不能阻止木马的

什么是木马病毒?

什么是木马?

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原 理 篇

基础知识

在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

木马原理

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马

(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

(2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

(三)出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。

(五)自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。

(六)木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图：

(1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

1.注册表:打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

2.WIN.INI:C:\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。

4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。

5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

6.注册表:打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C :\WINDOWS \NOTEPAD.EXE %1”该为“C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。

7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例：

其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

(1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。

(2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。

(3)4000端口：这是OICQ的通讯端口。

(4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

四.信息泄露:

一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。

从这封邮件中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。

五.建立连接：

这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们采用图示的形式来讲解。

如上图所示A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们 重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到 这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控 制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后， 开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于 拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索这个IP地址段就可以找到B机了。

六.远程控制：

木马连接建立后，控制端端口和木马端口之间将会出现一条通道，见下图

控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信 息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪

木马病毒的入侵途径有哪些

1、捆绑欺骗。把木马服务端和某个游戏捆绑成一个文件在QQ或邮件发给别人。服务端运行后会看到游戏程序正常打开，却不会发觉木马程序已经悄悄运行，可以起到很好的迷惑作用。而且即使别人以后重装系统了，他还是保存你给他的这个“游戏”的话，还是有可能再次中招。

2、这是教科书式的老式欺骗，方法如下：直接将木马服务端发给对方，对方运行，结果毫无反应（运行木马后的典型表现），他说：“怎么打不开呀！”你说：“哎呀，不会程序是坏了吧？”或者说：“对不起，我发错了！”然后把正确的东西（正常游戏、相片等）发给他，他收到后欢天喜地的就不想刚才该发生的事有什么不对劲了。

3、QQ冒名欺骗。前提：你必须先拥有一个不属于你自己的QQ号。然后使用那个号码给他的好友们发去木马程序，由于信任被盗号码的主人，他的朋友们会毫不犹豫地运行你发给他们的木马程序，结果就中招了。

4、邮件冒名欺骗。和第三种方法类似，用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件，别人下载附件并运行的话就中木马了。

5、危险下载点。这是后面几位朋友提到的，蔬菜常用的方法：（据说他已经用这种方法得到了数千台肉鸡）攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载，这样以后每增加一次下载次数，你就等于多了一台肉鸡。或者你干脆把木马捆绑到其它软件上,然后"正大光明"的发布到各大软件下载网站,它们也不查毒,就算查也查不出我写的新木马,然后...我就不用说了,肉机会至少两位数。

6、文件夹惯性点击。把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹，很多人出于连续点击的习惯，点到那个伪装成文件夹木马时，也会收不住鼠标点下去，这样木马就成功运行了。

7、zip伪装。这个方法是最新的，将一个木马和一个损坏的zip包（可自制）捆绑在一起，然后指定捆绑后的文件为zip图标，这样一来，除非别人看了他的后缀，否则点下去将和一般损坏的zip没什么两样，根本不知道其实已经有木马在悄悄运行了。

8、在某个公文包或者可以上传附件的论坛传上捆绑好的木马，然后把链接发给受害者。

9、网页木马法。