木马程序是什么：隐藏在正常程序中的恶意代码

内容提要：【木马程序】热度：56

一、木马程序是什么

木马程序是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。 

木马程序表面上是无害的，甚至对没有警戒的用户还颇有吸引力，它们经常隐藏在游戏或图形软件中，但它们却隐藏着恶意。这些表面上看似友善的程序运行后，就会进行一些非法的行动，如删除文件或对硬盘格式化。

完整的木马程序一般由两部分组成：一个是服务器端．一个是控制器端。“中了木马”就是指安装了木马的服务器端程序，若你的电脑被安装了服务器端程序，则拥有相应客户端的人就可以通过网络控制你的电脑。为所欲为。这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无安全可言了。

绝大部分的病毒扩展名是exe,有的脚本病毒的扩展名为VBS、VBE、JS、JSE、WSH、WSF。还有WORD文件（以DOC作为扩展名）也会携带病毒。

二、木马病毒的原理

木马病毒通常是基于计算机网络的，是基于客户端和服务端的通信、监控程序。客户端的程序用于黑客远程控制，可以发出控制命令，接收服务端传来的信息。服务端程序运行在被控计算机上，一般隐藏在被控计算机中，可以接收客户端发来的命令并执行，将客户端需要的信息发回，也就是常说的木马程序。

木马病毒可以发作的必要条件是客户端和服务端必须建立起网络通信，这种通信是基于IP地址和端口号的。藏匿在服务端的木马程序一旦被触发执行，就会不断将通信的IP地址和端口号发给客户端。客户端利用服务端木马程序通信的IP地址和端口号，在客户端和服务端建立起一个通信链路。客户端的黑客便可以利用这条通信链路来控制服务端的计算机。

运行在服务端的木马程序首先隐匿自己的行踪，伪装成合法的通信程序，然后采用修改系统注册表的方法设置触发条件，保证自己可以被执行，并且可以不断监视注册表中的相关内容。发现自己的注册表被删除或被修改，可以自动修复。

三、木马程序的类型

1. 网游木马
2. 网银木马
3. 下载类
4. 代理类
5. FTP木马
6. 通讯软件类
7. 网页点击型

1、网游木马

随着网络在线游戏的普及和升温，中国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。

网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。 

^{2、网银木马}

网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。

网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。2013年，安全软件电脑管家截获网银木马最新变种“弼马温”，弼马温病毒能够毫无痕迹的修改支付界面，使用户根本无法察觉。通过不良网站提供假QVOD下载地址进行广泛传播，当用户下载这一挂马播放器文件安装后就会中木马，该病毒运行后即开始监视用户网络交易，屏蔽余额支付和快捷支付，强制用户使用网银，并借机篡改订单，盗取财产。 

随着中国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。 

3、下载类

这种木马程序的体积一般很小，其功能是从网络上下载其他病毒程序或安装广告软件。由于体积很小，下载类木马更容易传播，传播速度也更快。通常功能强大、体积也很大的后门类病毒，如“灰鸽子”、“黑洞”等，传播时都单独编写一个小巧的下载型木马，用户中毒后会把后门主程序下载到本机运行。 

4、代理类
用户感染代理类木马后，会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目的。

5、FTP木马
FTP型木马打开被控制计算机的21号端口(FTP所使用的默认端口)，使每一个人都可以用一个FTP客户端程序来不用密码连接到受控制端计算机，并且可以进行最高权限的上传和下载，窃取受害者的机密文件。新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。

6、通讯软件类
常见的即时通讯类木马一般有3种：

（1）发送消息型

通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口，进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告，如“武汉男生2005”木马，可以通过MSN、QQ、UC等多种聊天软件发送带毒网址，其主要功能是盗取传奇游戏的帐号和密码.

（2）盗号型

主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后，可能偷窥聊天记录等隐私内容，在各种通讯软件内向好友发送不良信息、广告推销等语句，或将帐号卖掉赚取利润。 

（3）传播自身型

2005年初，“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后，MSN推出新版本，禁止用户传送可执行文件。2005年上半年，“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播，感染用户数量极大，在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析，发送文件类的QQ蠕虫是以前发送消息类QQ木马的进化，采用的基本技术都是搜寻到聊天窗口后，对聊天窗口进行控制，来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。

7、网页点击类
网页点击类木马会恶意模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单，一般只是向服务器发送HTTP GET请求。