基本特征:
1、隱蔽性是其首要的特征
如其它所有的病毒一樣,木馬也是一種病毒,它必需隱藏在你的系統之中,它會想盡一切辦法不讓你發現它。很多人的對木馬和遠程控制軟件有點分不清,因爲我前面講了木馬程序就要通過木馬程序駐留目標機器後通過遠程控制功能控制目標機器。實際上他們兩者的最大區別就是在于這一點,舉個例子來說吧,象我們進行局域網間通訊的常軟件——PCanywhere大家一定不陌生吧,大家也知道它是一款遠程通訊軟件。PCanwhere在服務器端運行時,客戶端與服務器端連接成功後客戶端機上會出現很醒目的提示標志。而木馬類的軟件的服務器端在運行的時候應用各種手段隱藏自己,不可能還出現什麽提示,這些黑客們早就想到了方方面面可能發生的迹象,把它們扼殺了。
例如大家所熟悉木馬修改注冊表和ini文件以便機器在下一次啓動後仍能載入木馬程式,它不是自己生成一個啓動程序,而是依附在其它程序之中。有些把服務器端和正常程序綁定成一個程序的軟件,叫做exe-binder綁定程式,可以讓人在使用綁定的程式時,木馬也入侵了系統,甚至有個別木馬程序能把它自身的exe文件和服務器端的圖片文件綁定,在你看圖片的時候,木馬也侵入了你的系統。它的隱蔽性主要體現在以下兩個方面:
a、不産生圖標
它雖然在你系統啓動時會自動運行,但它不會在“任務欄”中産生一個圖標,這是容易理解的,不然的話,憑你的火眼金睛你一定會發現它的。我們知道要想在任務欄中隱藏圖標,只需要在木馬程序開發時把“Form”的“Visible ”屬性設置爲“False”、把“ShowintaskBar”屬性設置爲“Flase”即可;
b、自動隱藏
木馬程序自動在任務管理器中隱藏,並以“系統服務”的方式欺騙操作系統。
2、它具有自動運行性
它是一個當你系統啓動時即自動運行的程序,所以它必需潛入在你的啓動配置文件中,如win.ini、system.ini、winstart.bat以及啓動組等文件之中。
3、木馬程序具有欺騙性
木馬程序要達到其長期隱蔽的目的,就必需借助系統中已有的文件,以防被你發現,它經常使用的是常見的文件名或擴展名,如“dll\win\sys\explorer等字樣,或者仿制一些不易被人區別的文件名,如字母“l”與數字“1”、字母“o”與數字“0”,常修改基本個文件中的這些難以分辨的字符,更有甚者幹脆就借用系統文件中已有的文件名,只不過它保存在不同路徑之中。還有的木馬程序爲了隱藏自己,也常把自己設置成一個ZIP文件式圖標,當你一不小心打開它時,它就馬上運行。等等這些手段那些編制木馬程序的人還在不斷地研究、發掘,總之是越來越隱蔽,越來越專業,所以有人稱木馬程序爲“騙子程序”。
4、具備自動恢複功能
現在很多的木馬程序中的功能模塊已不再是由單一的文件組成,而是具有多重備份,可以相互恢複。
5、能自動打開特別的端口
木馬程序潛入人的電腦之中的目的不主要爲了破壞你的系統,更是爲了獲取你的系統中有用的信息,這樣就必需當你上網時能與遠端客戶進行通訊,這樣木馬程序就會用服務器/客戶端的通訊手段把信息告訴黑客們,以便黑客們控制你的機器,或實施更加進一步入侵企圖。你知不知道你的電腦有多少個對外的“門”,不知道吧,告訴你別嚇著,根據TCP/IP協議,每台電腦可以有256乘以256扇門,也即從0到65535號“門,但我們常用的只有少數幾個,你想有這麽門可以進,還能進不來?當然有門我們還是可以關上它們的,這我在預防木馬的辦法中將會講到。
6、功能的特殊性
通常的木馬的功能都是十分特殊的,除了普通的文件操作以外,還有些木馬具有搜索cache中的口令、設置口令、掃描目標機器人的IP地址、進行鍵盤記錄、遠程注冊表的操作、以及鎖定鼠標等功能,上面所講的遠程控制軟件的功能當然不會有的,畢竟遠程控制軟件是用來控制遠程機器,方便自己操作而已,而不是用來黑對方的機器的。
7、黑客組織趨于公開化
以往還從未發現有什麽公開化的病毒組織(也許是我孤陋寡聞),多數病毒是由個別人出于好奇(當然也有專門從事這一職業的),想試一下自己的病毒程序開發水平而做的,但他(她)絕對不敢公開,因爲一旦發現是有可能被判坐牢或罰款的,這樣的例子已不再什麽新聞了。如果以前真的也有專門開發病毒的病毒組織,但應絕對是屬于“地下”的。現在倒好,什麽專門開發木馬程序的組織到處都是,不光存在,而且還公開在網上大肆招兵買馬,似乎已經合法化。正因如此所以黑客程序不斷升級、層出不窮,黑的手段也越來越高明。我不知道爲什麽,但據講其理由是“爲了自衛、爲了愛國” 。
<< 上一頁木馬病毒專題一 下一頁木馬病毒專題三 >>
