病毒檔案之后臺運行進行惡意控制和破壞病毒

帳號被偷，密碼被盜，機器被人遠程控制著放歌/開關機/屏幕倒轉過來，硬盤不住地轉動將關鍵資料向外發出，就是進行惡意控制和破壞病毒的杰作了。這類病毒和可執行文件病毒最本質的區別是——惡意控制和破壞病毒本身是獨立的程序，而不是寄生于另一個程序中。這類病毒的編寫主要在于對操作系統本身接口的熟悉，網絡傳輸的熟悉，以及對隱蔽性的要求，此類病毒的編寫可使用多種語言，對病毒寫作者本身的實力也是一種考驗。這個病毒中，最出名的莫過于BO了，可以說，它指引了這種病毒在windows平臺的發展理念。這類病毒就是統稱的“木馬”病毒，通過系統漏洞/用戶操作疏忽進入系統并駐留，通過改寫啟動設置來達到每次啟機運行或關聯到某程序的目的。在windows系統中，表現為修改注冊表啟動項、關聯Explorer、關聯notepad等方式。

進行惡意控制和破壞病毒淺析：

惡意控制和破壞病毒編寫者的功力就有高有低了。高手所編寫的遠程控制系統可以和最優秀的遠程管理工具相媲美，例如開山鼻主BO，國產的冰河，著名的黃金木馬sub7都屬于這一類，這類程序分為2個部分，控制端和被控制端；而在unix類平臺下的木馬經常是一個簡單外部命令的重新實現——例如將原本的ls命令替換掉，用自己寫的一個程序代替，在執行正常文件列表的同時隱含執行特殊命令，這類木馬的編寫水平也相當高，但在windows下極少出現類似程序替代的木馬，惡意控制和破壞病毒的聯系一般是單向進行的；還有一類木馬就是網絡盜竊性質的，以im軟件，網絡游戲盜號居多，近來發展為對金融業有所染指，這類一般就是通過程序監視當前窗口，并獲得當前窗口特定控件的值（用戶名/密碼框里的值），然后通過email，遠程登陸web數據庫等方式把獲得的密碼發出去，這類程序具有一定編程基礎的各位朋友都能做到；第4類是惟恐天下不亂的純搗亂程序，原理跟可執行文件病毒似，不過是朝文本框寫信息，例如著名的qq尾巴病毒，惡意控制和破壞病毒由于病毒作者將源代碼放出，改寫起來相當容易，智商85以上的人士都能勝任的。這類木馬病毒中的杰出代表為BO、冰河、Sub 7等。

進行惡意控制和破壞病毒感染途徑：

利用系統漏洞——造成溢出——獲取一定權限——利用其他漏洞或用戶設置不當提升權限——上傳惡意程序/修改系統設置——啟動惡意程序。是這類病毒感染的慣用方式。在后期，出現了以誘騙用戶執行為主要感染方式的新木馬，充分利用了社會工程學，例如在im類軟件上給你發送一個名為“我的照片.exe”這樣的文件給你，引誘你打開執行。由于木馬的用途主要是將病毒編寫者感興趣的資料回發——因此感染途徑99%來源于網絡，在完全無網絡單機狀態下的木馬等于是沒用的死馬。

進行惡意控制和破壞病毒自查：

由于木馬發送者的企圖都是通過控制你的機器操作來獲得一定利益，因此都會設置啟動時加載該程序。控制類的木馬需要占用相當一部分系統資源——用戶直接能感覺到的就是啟動速度變慢，系統運行速度變慢；而帳號盜取類的木馬由于需要獲得特定窗口的窗口句柄，因此會在當前窗口切換的時候進行讀取判斷——在機器配置不高的機器上，如果快速輪循窗口，則感覺到窗口出現速度明顯下降；惡作劇類的木馬就不用提了，大家都知道不對勁。

木馬病毒在編制不夠完美的時候，會導致程序溢出——例如運行ie的時候多次出現“非法操作”、打開資源瀏覽器速度狂慢等現象，也可能是系統中了木馬后的蛛絲馬跡。在現象判斷上，確實沒有切實的客觀規則可循，主要是依據主觀經驗判斷。總之——如果您沒有安裝任何軟件/修改任何設置，原本昨天速度飛快的機器今天要么總是非法操作，要么速度延遲——那么您被感染了病毒或木馬的可能性相當大了。當然，如果您的qq帳號，傳奇密碼被偷了——更有100%的可能性是潛伏著的木馬干的。另外，相當多的木馬程序由于帶了hook鉤子，常常導致調試類程序出錯，如果您使用softice調試某些程序時經常無故報錯，那或許也是系統中掛接了異常的hook程序——木馬。

進行惡意控制和破壞病毒查殺：

木馬病毒的繁衍也是相當快速的，特別是行為上難以判斷——合法遠程控制軟件和木馬在本質上基本上無區別，在執行行為上也相當類似。而木馬的控制協議一般是走tcp/ip協議，理論上是可以在65535個端口中隨意選擇（當然實際中會避開一些保留端口，防止系統沖突——木馬最必要的生存條件就是其隱蔽性），因此也無法利用端口方式準確判斷出病毒種類；通過特征碼方式，如果木馬作者沒有留下版本信息或說明文字，則也相當難以判斷；特別是木馬的源代碼公開后，想在其中加入一段獨特的功能代碼不是什么難事，因而衍生的版本特別快也特別多，這更加大了殺毒軟件查殺的的難度。

事實上現在世面上的殺毒軟件對待木馬的查殺能力并不夠強大，如果有可能，可以選擇專用的木馬查殺軟件，如木馬克星等。當然，木馬也有手工解決的辦法，而且對待層出不窮的木馬也只有手工查殺才能以不變應萬變——感染/修改設置/啟動加載/運行獲取密碼 是木馬必經過的4個步驟，讓我們看看怎么找出藏在機器中的馬來——由于木馬需要啟動加載執行，因此大多采取修改啟動項目來加載的方式進行——那么，我們就到啟動項目里去牽馬吧；

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]