浅析木马病毒及其防范措施

科技情报开发与经济　ＳＣＩ—ＴＥＣＨ　ＩＮＦＯＲＭＡＴＩＯＮ　ＤＥＶＥＬＯＰＭＥＮＴ＆ＥＣＯＮＯＭＹ　２００６年第１６卷第２期　文章编号：１００５－．６０３３（２００６）０２—０２３６－－０２　收稿日期：２００５—１１－２８　浅析木马病毒及其防范措施　郭威兵　，刘晓英　ｆ　（１．中国工商银行山西省分行营业部，山西太原，０３０００２；２．广东省科学技术职业学院，广东珠海，５１９０９０）　摘要：分析了木马病毒的特征和行为，并且对该病毒的入侵及传播方式进行了揭示，　在此基础上提出了木马病毒的预防措施，并给出了目前常见的几种木马病毒的查杀方　式。　关键词：木马病毒；入侵检测；病毒查杀；信息安全　中圈分类号：ＴＰ３９３．０８　文献标识码：Ａ　自２Ｏ世纪８Ｏ年代莫里斯编制的第一个“蠕虫”病毒程序至今．世界　标时自动完成木马病毒的植入操作，这是目前大多数木马病毒所采用的　上已出现了多种不同类型的病毒。其中尤以木马病毒最为典型且流传广　植入方法。　泛．最近在网上流行的“代号１７”（Ｈａｃｋ．ＳｕｂＳｅｖｅｎｌ７）和“邮箱大盗”（Ｔｍｊ．　（２）利用系统漏洞。由于各种操作系统、应用软件系统在最初编制完　Ｋｕａｐｏｄ．ｋ）（一种用来专门窃取用户的邮箱密码且不易被察觉的病毒）就　成时，会遗留各种不足，如缓冲区溢出漏洞。这些不足很容易被利用以实　是很典型的木马病毒。由于木马病毒起源较早且流行性较广，而且随着　现木马病毒的植入。　查杀病毒工具的进步，它的变种也越来越厉害，往往是看起来容易清除，　实则不然。因此本文专门来探讨木马病毒，以此来分析归纳该病毒的特　３木马病毒的加载技术　征及作用方式，并给出相应的防御及查杀方法。　当木马病毒成功植入目标机后，就必须确保自己可以通过某种方式　１木马病毒的特征和行为　得到自动运行。常见的木马病毒加载技术主要包括：系统启动自动加载、　文件关联和文件劫持等。　特洛伊木马病毒程序表面上是无害的，甚至对没有警戒的用户还颇　（１）系统启动自动加载。这是最常用的木马自动加载方法。木马病毒　有吸引力。它们经常隐藏在游戏或图形软件中，与其他病毒不同，特洛伊　通过将自己拷贝到启动组，或在ｗｉｎ．ｉｎｉ，ｓｙｓｔｅｍ．ｉｎｉ和注册表中添加相应　木马病毒不复制自己。一个被木马病毒程序感染的计算机系统将会表现　的启动信息而实现系统启动时自动加载。这种加戴方式简单有效，但隐　出不寻常的行为或运行得比平时要慢。可能会有一个或多个不寻常的任　蔽性差。目前很多反木马软件都会扫描注册表的启动键（信息），故而新　务在运行（这个症状通常可以通过使用任务管理器或相似的工具查出），　一代木马病毒都采用了更加隐蔽的加载方式。　或者对计算机的注册表和其他配置文件进行修改。有证据显示，电子邮　（２）文件关联。这是通过修改注册表来完成木马的加载。但它并不直　件信件会在用户不知情的情况下被发送。　接修改注册表中的启动键（信息），而将其与特定的文件类型相关联，如　木马病毒的前缀是Ｔｒｏｊａｎ，黑客病毒前缀名一般为Ｈａｃｋ。木马病毒　与文本文件或图像文件相关联。这样在用户打开这种类型的文件时，木　的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外　马病毒就会被自动加载。　界泄露用户的信息。而黑客病毒则有一个可视的界面，能对用户的电脑　（３）文件劫持。文件劫持是一种特殊的木马加载方式。木马病毒被植　进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入　入到目标机后，需要首先对某个系统文件进行替换或嵌入操作，使得该　用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种　系统文件在获得访问权之前．木马病毒被率先执行，然后再将控制权交　类型都越来越趋向于整合了。一般的木马病毒如ＱＱ消息尾巴木马　还给相应的系统文件。采用这种方式加裁木马不需要修改注册表，从而　Ｔｒｏｊａｎ．ＱＱ３３４４。还有大家可能比较多见的针对网络游戏的木马病毒。如　可以有效地躲过注册表扫描型反木马软件的查杀。这种方式最简单的实　Ｔｍｊａｎ．ＬＭｉｒ．ＰＳＷ．６０。病毒名中有ＰＳＷ或者ＰＷＤ之类的一般都表示这个　现方法是将某系统文件改名，然后将木马程序改名。这样当这个系统文　病毒有盗取密码的功能。一些常见的黑客程序包括网络枭雄（Ｈａｃｋ．　件被调用的时候，实际上是木马程序被运行。而木马启动后，再调用相应　Ｎｅｔｈｅｒ．Ｃｌｉｅｎｔ）等。　的系统文件并传递原参数。　２木马病毒的传播及植入４木马病毒的反清除技术　由于木马病毒是一个非自我复制的恶意代码，因此它们需要依靠用　为确保有效性．木马病毒常常具有一定反清除能力。主要反清除技　户向其他人发送其拷贝。木马病毒可以作为电子邮件附件传播，或者它　术包括：多实例、系统内核嵌入和ＢＩＯＳ写入等。　们可能隐藏在用户与其他用户进行交流的文档和其他文件中。它们还可　（１）多实例。所谓多实例就是将木马程序（多份）分别存放在目标机　以被其他恶意代码所携带，如蠕虫。木马病毒有时也会隐藏在从互联网　的不同目录下，这些木马实例彼此相互监督，以防止某个木马病毒实例　上下载的捆绑免费软件中。当用户安装这个软件时，木马病毒就会在后　被查杀。冰河木马就采用了双份独立存放方法。一份与文本文件相关联，　台被自动秘密安装。　因此当一份被删除后，另一份会在打开文本文件时，重新生成被删除的　木马病毒植入技术，主要是指木马病毒利用各种途径进入目标机器　那份木马程序。此外有些木马病毒还采用同时运行多个进程（或线程），　的具体实现方法。目前常用的木马植入技术主要分为３类：伪装欺骗、利　彼此采用信号量或触发事件来实现互相监视，当一个进程（或线程）被杀　用系统漏洞和入侵后直接植入。此外利用蠕虫传播技术传播木马病毒正　死时，其他进程（或线程）就立刻重新生成该进程（或线程）的实例。显然　在成为木马病毒植入技术的一个重要发展趋势。以下就对前两类植入方　采用多实例的木马具有较强的顽固性。现在许多木马病毒就采用了这样　法作一简要介绍：　的技术。　（１）伪装欺骗。通过更改木马病毒程序（文件）的文件后缀和图标等，　（２）操作系统内核嵌入。木马病毒如果已获取了操作系统的部分控　将其伪装成一个有用的程序　文本文件或多媒体文件，然后藏匿在电子　制权　就可以将自己紧密地依附到系统部件上，这就使木马查杀变得更　邮件的附件中，并在目标机器用户受骗点击相应藏有木马程序的文件图　加困难。后面将要介绍的利用设备驱动技术就是其中一种。　２３６　维普资讯 http://www.cqvip.com

郭威兵，刘晓英浅析木马病毒及其防范措施　本刊Ｅ－ｍａｉｌ：ｂｊｂ＠ｍａｉｌ．ｓｘｉｎｆｏ．ｎｅｔ　信患技术　（３）ＢＩＯＳ写入。ＢＩＯＳ是系统的基本输入输出系统．存放于ＥＥＰＲＯＭ　芯片上。如果将特定的木马代码写入ＢＩＯＳ，将会使木马更加难于清除。　借助Ｂ１ＯＳ会大大提高木马病毒的顽固性。　ｕｎ　和　ＨＫＥＹ—ＬＯＣＡＬ＿ＭＡＣＨ１ＮＥＸＳｏｆｔｗａｒｅ￣Ｍｉｃｒｏｓｏｆ【、Ｗｉｎｄｏｗｓ＼Ｃｕｒｒｅｎｔ　Ｖｅｒｓｉｏｎ＼Ｒｕｎｓｅｒｖｅｉｃｅ，察看键值中有没有自己不熟悉的自启动文件，它的　扩展名一般为ＥＫＥ，然后记住木马程序的文件名，再在整个注册表中搜　索，凡是看到了一样的文件名的键值就删除，接着到电脑中找到木马文　件的藏身地将其彻底删除。　检查ＨＫＥＹ—ＬＯＣ　ＭＡＣＨＩＮＥ　和ＨＫＥＹ—ＣＵＲＲＥＮＴ＿ＵＳＥＲ＼　５木马病毒的隐藏技术　为确保有效性，木马病毒必须具有较好的隐蔽性。木马病毒的主要　隐蔽技术包括：伪装进程隐藏、ＤＬＬ技术等。　（Ｉ）伪装。从某种意义上讲．伪装是一种很好的隐藏。木马病毒的伪　ＳＯＦＩ＇ＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ￣Ｉｎｔｅｍｅｔ　ＥｘｐＩｏｒｅＡＭａｉｎ中的几项（如Ｌｏｃａｌ　Ｐａｇｅ），如　果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码（如　“万花谷”）就经常修改这几项。　检查ＨＫＥＹ＿ＣＬＡＳＳＥＳ—ＲＯＯＴｑｎｉｆｉｌｅＸｓｈｄｌ＼ｏｐｅｎ＼ｃｏｍｍａｎｄ和ＨＫＥＹ—　装主要有文件伪装和进程伪装。前者除了将文件属性改为隐藏之外，大　多通过采用一些比较类似于系统文件的文件名来隐蔽自己；而后者则是　利用用户对系统了解的不足，将自己的进程名设为与系统进程类似而达　到隐藏自己的目的。　ＣＬＡＳＳＥＳ　ＲＯＯ１、ｉｘｍｌｅ、ｓｈｅｌｌ　’ｅｎ、ｃ０ｍｍａｎｄ等几个常用文件类型的默认　打开程序是否被更改，若有更改一定要改回来，很多病毒就是通过修　改．ｔｘｔ和．　等的默认打开程序而清除不了。　（２）进程隐藏。木马病毒进程是它驻留在系统中的最好证据．若能够　有效隐藏自己的进程，显然将大大提高木马病毒的隐蔽性。在ｗｉｎｄｏｗｓ９８　系统中可以通过将自己设为系统进程来达到隐藏进程的目的。但这种方　法在ｗｉｎｄｏｗｓ２０００／ＮＴ下就不再有效，只能通过下面介绍的ＤＬＬ技术或　设备驱动技术来实现木马病毒的隐藏。　．　（３）ＤＬＬ技术。采用ＤＬＬ技术实现木马的隐蔽性，主要通过以下两种　途径：ＤＬＬ陷阱和ＤＬＬ注入。ＤＬＬ陷阱技术是一种针对ＤＬＬ（动态链接　库）的高级编程技术，通过用一个精心设计的ＤＬＬ替换已知的系统ＤＬＬ　在上述操作时要注意的就是．对注册表修改之前，先要对它进行备　份．以防错误的操作引起系统崩溃。　（２）检查系统配簧文件。从开始菜单运行ｍｓｃｏｎｆｉｇ，打开系统配置实　用程序。　检查ｗｉｎ．ｉｎｉ文件（在Ｃ：＼ｗｉｎｄｏｗｓ下），在“ＷＩＮＤＯＷＳ”下面，“ｎＩｎ；”　和“ｌｏａｄ＝”是加载木马程序的一种途径。一般情况下，在它们的等号后面　什么都没有，如果发现后面跟着不熟悉的启动程序，那个程序就是木马　程序。比如攻击ＯＩＣＱｄｅ“ＧＯＰ”木马，就会在这里留下痕迹。　检查ｓｙｓｔｅｍ．ｉｎｉ文件（在ｃ：＼ｉｎｄｏｗｓ下），ｗ在“ＢＯＯＴ”下面有个“ｓｈｅｌｌ＝　文件名”。正确的文件名应该是“ｅｘｐｌｏｒｅｒ．ｅｘｅ“，如果是“ｓｈｅｌｌ＝ｅｘｐｌｏｒｅｒ．ｅｘｅ　或嵌入其内部，并对所有的函数调用进行过滤转发。ＤＬＬ注入技术是将　个ＤＬＬ注入到某个进程的地址空间，然后潜伏在其中并完成木马的操　作　一程序名”，那么后面跟着的那个程序也是木马程序。　不管出现以上那种情况，先将程序名删除，然后再在硬盘上找到这　个程序进行删除。　６木马病毒的信息获取技术　获取目标机的各种敏感信息，是木马病毒有别于其他病毒或蠕虫的　最大特点之一。木马病毒原则上可以获取目标机中所有信息，包括：一是　基本信息，如系统版本、用户名、系统目录等；二是利用钩子函数获取用　户键入的口令或其他输入；三是对目标机所在局域网中流动的信息包进　行嗅探．以获得诸如系统口令或其他敏感信息；四是目标机屏幕截取与　传送；五是目标机附近声音信号的采集与传输。　９反木马软件　除了以上查杀木马病毒的方法外，我们还可以用一些反木马软件来　清除木马病毒，如ＴｈｅｅＩｅａｎｅｒ，ＴｒｏｊａｎＲｅｍｏｖｅｒ．冰河清除器，ＢＯ２Ｋｌｅａｎ—ｅｎｇ　等。　综上所述，本文给出了常见病毒的一些预防及处理措施。随着技术　的不断发展，木马病毒必定也会以更隐蔽、破坏力更强的方式出现，但　“魔高一尺，道高一丈”。相信反病毒方式也会不断进步．从而确保我们的　信息安全。　参考文献　［１］Ｗａｌｌａｃｅ　Ｗａｎｇ．ＳＴＥＡＬ　ＴＨＩＳ　ＣＯＭＰＵ　ＩＥＲ　ＢＯＯＫ　３［Ｍ］．北京：清华大　学出版社，２００４．　７木马病毒的预防　对于木马病毒的预防其实很简单，就是不要执行任何来历不明的软　件或程序，不管是邮件中的还是Ｉｎｔｅｒｎｅｔ上下载的。在下载软件时，一定　要从正规的网站上下载。对计算机中的个人敏感数据（口令、信用卡账号　等），一定要妥善保护。上网的计算机必备防毒软件，一个好的杀毒软件　也可以查到绝大多数木马程序，但一定要记得时时更新。　［２］鲍友仲．网络安全之防黑秘诀［Ｍ］　Ｅ京：电子工业出版社．２００２．　［３］朱明，徐骞．木马病毒分析及其检测方法研究［Ｊ］．计算机工程与应　用．２０ｏ３，２８：１７８—１７９．　８木马病毒的查杀　木马的查杀，可以采用手动和自动两种方式。最简单的方式是安装　杀毒软件，当今国内很多杀毒软件像瑞星、金山毒霸　ＫＶ３０００等都能删　除网络中最猖獗的木马。但杀毒软件的升级通常慢于新木马的出现，因　［４］戴小波．木马病毒的防御策略谈ＥＪ］．机械职业教育，２００３（１２）：４４—　４５．　～　（责任编辑：邱娅男）　第一作者简介：郭威兵，男，１９７２年３月生，１９９５年毕业于太原理工　此学会手工查杀很有必要。常用方法有：　（１）检查注册表。从开始菜单运行ｒｅｇｅｄｉｔ．打开注册表编辑器。　ＨＫＥＹ　ＬＯＣＡＬ＿ＭＡＣＨＩＮＥＸＳｏｆｔｗａｒｅ＇ｄＶｌｉｃｍｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ　大学，工程师，中国工商银行山西省分行营业部，山西省太原市，０３０００２．　Ａｎａｌｙｓｉｓ　ｏｎ　ｔｈｅ　Ｔｒｏｊａｎ　Ｈｏｕｓｅ　Ｖｉｒｕｓ　ａｎｄ　Ｉｔｓ　Ｐｒｅｖｅｎｔｉｖｅ　Ｍｅａｓｕｒｅｓ　ＧＵＯ　Ｗｅｉ－ｂｉｎｇ，ＬＩＵ　Ｘｉａｏ－ｙｉｎｇ　ＡＢＳＴＲＡＣＴ：Ｔｈｉｓ　ｐａｐｅｒ　ａｎａｌｙｚｅｓ　ｏｎ　ｔｈｅ　ｆｅａｔｕｒｅｓ　ａｎｄ　ｂｅｈａｖｉｏｒｓ　ｏｆ　ｔｈｅ　Ｔｒｏｊａｎ　Ｈｏｕｓｅ　ｖｉｒｕｓ，ｒｅｖｅａｌｓ　ｔｈｅ　ｉｎｔｕｄｉｒｎｇ　ａｎｄ　ｔｒａｎｓｍｉｔｔｉｎｇ　ｍｏｄｅｓ　ｏｆ　ｔｈｉｓ　ｖｉｕｓ，ａｎｄ　ｂａｓｅｄ　ｏｎ　ｔｒｈｉｓ，ｐｕｔｓ　ｆｏｒｗａｒｄ　ｔｈｅ　ｐｒｅｖｅｎｔｉｖｅ　ｍｅａｓｕｒｅｓ　ｆｏｒ　ｔｈｅ　Ｔｒｏｊａｎ　Ｈｏｕｓｅ　ｖｉｕｓ，ａｎｄｒ．　ｐｒｅｖｅｎｔｓ　ｓｅｖｅｒａｌ　ｃｏｍｍｏｎ　ｍｅｔｈｏｄｓ　ｆｏｒ　ｃｈｅｃｋｉｎｇ　ａｎｄ　ｋｉｌｌｉｎｇ　ｔｈｅ　Ｔｒｏｊａｎ　Ｈｏｕｓｅ　ｖｉｒｕｓ．　ＫＥＹ　ＷＯＲＤＳ：Ｔｒｏｊａｎ　Ｈｏｕｓｅ　ｖｉｕｓ；ｉｒｎｔｕｓｉｒｏｎ　ｄｅｔｅｃｔｉｏｎ；ｖｉｕｓｒ　ｃｈｅｃｋｉｎｇ　ａｎｄ　ｋｉｌｌｉｎｇ；ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｔｙ　２３７