thom browne 上海:关于特洛伊木马

1．什么是木马

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马，这样，即使是发现感染了木马，由于不能确定木马的正确位置，也无法清除。木马的服务端一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，而这对于服务端的用户是非常危险的!

2．木马的危害

如果我们的计算机上真的被种上了木马，黑客们能干些什么呢?以中国第一木马——冰河为例。通过冰河，黑客们可以给我们的计算机增加口令，查看我们的历史口令，记录我们的击键情况，查看屏幕，控制窗口，发送错误信息，查看并终止我们的进程，锁定鼠标、键盘热键，共享我们的目录，任意浏览、移动、复制、删除、上传和下载文件，甚至可修改我们的注册表，更改我们计算机的配置等等。

3．释放木马的常规方法

最早的隐藏方法就是修改文件名，因为第一代木马为了方便客户端连接是不支持修改文件名的，而且木马种类有限，所以只要背下那几个文件名，以后不去运行它就可以了。

在木马“隐藏史”上，第一个“里程碑”式的隐藏方法当属修改图标了。当Windows特别是Windows95问世后，这种方法就显示出极高的欺骗性。因为，Windows会对合法的应用程序及文件按其“打开方式”赋予相应的图标。早期的木马由于不属于“合法”的应用程序而没有相应的图标，使用者就很容易辨识(当时，包括现在的很多使用者都是根据图标来判断文件属性的)。于是，黑客也将木马换上了大家所熟知“图标”。当使用者们看到了自己所熟悉的图标，便会毫无顾忌地运行它，结果可想而知。

有经验的朋友当执行某些可执行文件后，发现没有反应，就会发觉自己有可能“中招”。这当然是黑客们不愿看到的。于是黑客们会在服务端加上了错误提示，即服务端被运行时，会弹出错误提示，一般类似于：“该文件已经损坏，Windows不能正常运行等等(这些提示当然是假的)”。而你也会认为文件确实是损坏了，这时木马程序却已悄悄地安装到了你的计算机上了!

聪明的黑客还想出了一种更简单易行的方法：他们发明了一种叫“捆绑机”的东西，而且很多专用的捆绑软件都支持加载反病毒代码(杀毒软件是靠病毒代码识别木马程序的)，所以，几乎没有杀毒软件可以查出一个可执行文件是否捆绑了木马。黑客把木马和一些小游戏捆绑起来，然后直接发给你(放到电子邮件的附件里)。这样，当你运行这些小游戏时，木马已经不知不觉地种到你的计算机上了!

现在新出现一种相当隐蔽的释放方法，就是通过个人主页传播病毒，当然也能向浏览网页的人释放木马的。

4．症状

计算机被种上木马以后会出现如下症状：

1)响应命令速度下降。对于用惯了某一台计算机的高手来说，很轻易就能发现计算机被种上木马前后的区别。

2)有时你会发现自己并没有对计算机进行操作，而硬盘灯却闪个不停。这说明黑客有可能正通过木马在你的计算机上上传或下载文件。

3)有的症状就比较明显。例如，你在浏览网页时，网页会自动关闭；软驱或光驱会在无盘的情况下读个不停；文件被移动；计算机被关闭或是重启；甚至于有人和你匿名聊天!

5．木马的清除

如果你怀疑自己的计算机上被种上了木马，首先要．找一个或几个最新版本的杀毒软件来杀一下；然后你可以打开C盘下的Windows文件夹，看看有没有可疑的文件；最后你可以到注册表的[HKEY＿LOCAl＿MACHINE＼ SOFTWARE＼Microsoft＼Windows＼CurrenVersio＼]这个键值下看看Run后面有什么奇怪的键值，如果有，很可能就是被种上了木马。

要想避免遭到黑客们的恶意攻击，不能仅仅靠那几个防火墙，而是要提高我们自身的网络安全意识。

具体一点儿的说，就是可以盗你的QQ密码，宽带帐号密码，邮箱密码，通过木马可以让你的电脑被hack控制等，呵呵呵，，如果你要用信用卡网上购物，可以记录下你的帐号和密码，，，
像我中了回QQ类的木马，50个Q币灰飞烟灭，可怜呀

楼上说得有理