众所周知，木马（特洛伊木马）是一种基于远程控制的黑客工具。与病毒不同，木马并不会自我繁殖，也不会去感染其他文件，其主要目的是盗窃你的帐号密码，打开你的电脑端口、让黑客能控制你。2004年以来国内木马数量激增，病毒制造者更倾向于制造、传播木马病毒，国内出现了用木马进行盗窃的犯罪活动，例如利用木马盗窃你的网游帐号密码、网上银行的资金，给许多朋友带来了巨大的经济损失。OK，下面我们来分篇介绍最新的典型木马及反木马软件，希望能给你查杀木马带来帮助！

　　目前木马病毒数量众多（已达到了五位数），而且新木马及其变种还在源源不断地涌现，如果根据木马针对的领域划分，我们可以把2004年常出现的木马分成五大类：即网游类木马、广告类木马、通讯类木马、后门类木马、网银类木马。从危害范围来看，网游木马危害最为严重，其次是广告木马也包含恶作剧程序，再次是即时通讯木马，接下来危害也比较大的是后门木马病毒，排在最后的是网银木马。

　　一、网游类木马

　　如今国内网络游戏玩家众多，网上虚拟装备交易火爆，于是大批针对网络游戏的木马病毒涌现。这些木马盗窃网游的账号、密码及游戏装备，发送给它的主人，供木马使用者出售获利。其中危害最大的有传奇男孩、剑侠幽灵、蜜蜂大盗。

　　1、传奇男孩(Troj.MirBoy)

　　传奇男孩是针对传奇游戏的木马病毒，专门偷取用户的传奇账户与密码，发送到黑客指定的邮箱中。如今针对传奇游戏的木马病毒很多，而且不断出现新变种。这类木马刚开始偷账号，现在已经发展到能阻止杀毒软件的运行，传奇男孩就是其中的典型代表。

　　该病毒侵入用户电脑后，会将自身拷贝到系统目录，然后在注册表中修改键值，以便系统启动时自动加载；它还会终止系统中各类反病毒软件，如天网防火墙，ZoneAlarm等。

　　2、蜜蜂大盗（Win32.Troj.MiFeng70）

　　该木马为冰枫工作室制作，偷窃以下软件的密码：QQ、传奇、奇迹、千年、红月、倚天、决战、大话西游、石器时代、遗忘传说、DVAQ，并将密码发到指定信箱。木马运行后会将自身复制到系统目录下，文件名保持不变，在系统安装目录中生成isUn0404.exe、isUn0804.exe、isUninst.exe；在注册表主键HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加键值"internet"="%SYSTEM%"\%VIRUSNAME%"；对注册表主键HKLM\SOFTWARE\Classes \xtfile\shell\open\command修改键值"默认"="%SYSTEM%"\%VIRUSNAME%" "%1"；在C:Autoexec.bat中添加内容net stop "Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)">C:BOOTEX.LOG。

　　木马运行后硬盘会狂运作，监听UDP2222端口，监视杀毒软件木马克星、瑞星。木马通过http://ip.loveroot.com/showip.php获得感染机器的IP信息，会到http://freehostwebsamba.com/ryabcdefg/mf6db/index.asp?eve=gip&mailid=检查是否被注册。

　　3、剑侠幽灵（Troj.JXGhost.a）

　　随着“剑侠情缘”网络版在网络中的广泛流行，针对该游戏的木马病毒也随之而生，剑侠幽灵就是这类木马中的代表。

　　该木马在网络中通过各种途径传播，窃取剑网玩家的帐号与密码，造成用户的隐私泄漏及系统的不稳定。木马感染系统后，会监视系统中剑网客户端的运行，记录玩家的帐号及密码，并发送给指定的Email地址。

　　二、广告类木马

　　msn小尾巴

　　例如最近闹得沸沸扬扬的MSN小尾巴（worm.MsnFuny）就是这种木马，中毒后可以导致937个网站不能正常访问。该病毒同时具有蠕虫和木马特点。它利用MSN Messenger疯狂传播，使用多进程互相监视的方法来保护自己，这样无疑加大了手工清除的难度。

　　该病毒运行后，仿照“QQ小尾巴”病毒方法，先发送一条网站的广告消息，，接着发一个病毒的副本，当用户不知情的情况下，运行了发送来的病毒副本，就会导致中毒。病毒在本机感染后会导致大量网站不可访问，非常恶毒。该病毒利用MSN疯狂传播，已经另很多网友中招。请用户注意不要轻易运行MSN上传来的程序。尤其是比较熟悉的好友发来的诸如“funny.exe”之类的程序。

　　三、即时通讯类木马

　　此类木马利用即时通讯工具(比如：QQ、MSN)进行传播。中毒后，你的电脑会下载病毒作者指定的任意程序，其危害不可确定，可导致用户的经济损失，有的还会制造恶作剧，中毒者向联系人发送“我今天要结婚”的恶作剧消息。此类木马中危害最大的有QQ 狩猎者、记事本幽灵。

　　1、QQ 狩猎者(Troj.QQmsg)

　　该木马会偷取传奇等游戏的密码，发送到指定的信箱中，还可以关闭某些防毒软件和网镖等防火墙。中了该木马后，IE主页将被修改为http://nv520.com/htm；当你用QQ聊天时，会自动发送如下消息：http://nv520.com/jpg刘得华同性恋被偷拍........春节到了,祝你万事如意身体健康http://nv520.com/serch.htm。。。

　　木马运行后，复制两份病毒体到%SystemRoot%中，文件名为"sendmess.exe"；在%SystemRoot%目录中生成文件"qq32.ini"，在%System%目录生成文件"qqmess.dll"；释放另一个传奇木马到"%SystemRoot%intrenat.exe"，"%System%qqmewf.exe"，"%System%WinSocks.dll"；在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加键值"QQ"="%SystemRoot%sendmess.exe"，"intrenat"="%SystemRoot%intrenat.exe"；在注册表主键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services中添加键值"intrenat"="%SystemRoot%intrenat.exe"；在注册表主键HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中添加键值"Start Page"="http://nv520.com/htm"

　　2、记事本幽灵（Win32.Troj.Axela.w）

　　该病毒通过QQ聊天软件，自动向用户的好友发送含有病毒网址的消息，病毒网页上有一个flash文件，一旦你打开该网页就会自动下载病毒程序。

　　病毒会在用户的电脑上生成文件%Windir%\System\windll.dll，其内容是："AllJapanesArePigs"，当病毒再次被运行后，将修改IE默认主页项，只要你打开IE，病毒就连接到指定的网站，干扰用户的正常工作。另外，用户每次打开文本文件时，都会运行该病毒，其进程名字为Oteped.exe和Taskmgr.exe，病毒伪装任务管理器程序，迷惑用户。

　　四、后门类木马

　　此类木马采用了反弹端口技术，防火墙对它们也不起作用。因为你的电脑中毒后，会主动连接黑客电脑的80端口，防火墙会认为你在浏览网页，不会加以阻止，因此你的防火墙就形同虚设。这样你的系统就完全暴露在黑客手中，黑客可以对用户进行远程文件和注册表的操作，捕获被控制电脑的屏幕，远程重启和关闭计算机，禁用系统热键和注册表编辑器。此类木马中危害最大的有灰鸽子、黑洞、安哥。

　　1、灰鸽子(Hack.Huigezi)

　　它自带文件捆绑工具，寄生再图片、动画等文件中，一旦你打开此类文件即可中招。此木马为内嵌式木马，使用DLL进行监听，一旦发现控制端的连接请求就激活自身，绑在一个进程上进行木马操作，打开你的8225端口，偷窃各种密码，监视你的一举一动。

　　木马运行后，会见建立%systemroot%\system\mapis32a.dll文件，还会在system32.dll内生成一个系统文件（c:\windows\system32\vschost.exe)很像的文件svchost.exe,每次开机后这个文件被自动加载；如果和客户端上后svchost.exe每一个进程的线程数迅速增加到100个以上，此时系统运行速度非常慢。

　　手工清除方法：首先要禁止它开机自动运行，点开始/运行，输入msconfig点确定，在系统配置实用程序中选“启动项”，然后把SVCHOST前面的勾去掉，点确定后退出；接下来在运行中输regedit 进入注册表，查找SVCHOST（注意是大写的），删除找到的SVchost.ini、mapis32a.dll、%systemroot%F4.Jpg，关机重启；最后运行TcpView，检查你的8225端口是否开着。

　　2、黑洞(Backdoor/BlackHole.2004)

　　黑洞病毒于2004年8月被截获，它可以窃取用户BIOS密码、屏幕保护密码、基于NT核心的登陆密码、FOXMAIL密码、OUTLOOK密码和IE自动完成密码等；可记录用户电脑的一切键盘输入，包括中英文输入，直接威胁用户的隐私安全。

　　黑洞可按反弹端口方式进行连接，这样病毒能穿透一般防火墙、渗透到内部网络；它还自带IP数据库，当黑客与被感染机器建立连接后，即能看到用户所在的实际地理位置，使得黑客在挑选攻击对象时，能有所选择。类似国产冰河、灰鸽子等黑客控制软件，黑洞可以让黑客监控染毒的电脑，远程开启用户USB摄像头，并将其偷拍数据转换为Mpeg文件传给黑客观看，远程查看或关闭用户所有进程，非法观看远程桌面、远程重启关机，以及所有资源/文件，并可以控制上传下载。与“蜜蜂大盗”相比，该病毒功能更强，增加了通过麦克风，远程捕获用户声音的能力。

　　该病毒运行后，将在感染的电脑上创建文件%WinDir%\server.exe（207982字节）；在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加启动项："111" = %WinDir%\server.exe这样系统启动时，病毒即自动执行。它可以用dll方式注入到任意进程（包括explorer.exe，IE浏览器，notepad.exe 等系统进程）中，具有更强的隐蔽性，而且病毒名、大小、隐藏路径都是不定的，这就给用户发现和查杀病毒带来困难。

　　3、安哥(Hack.Agobot3.aw)

　　该病毒兼具黑客和蠕虫的功能，利用IRC软件开启后门，等待黑客控制。它试图偷取被感染电脑内的正版软件序列号等重要信息，可造成计算机不稳定，出现计算机运行速度和网络传输速度极剧下降，复制、粘贴等系统功能不可用，OFFICE和IE浏览器软件异常等现象。

　　该病毒运行后，将自身复制为%System%\scvhost.exe，在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加键值 "servicehost"="Scvhost.exe"，在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicces中添加键值"servicehost"="Scvhost.exe"该病毒会中止许多知名反病毒软件和网络安全软件，利用RPC DCOM漏洞和WebDAV漏洞在网络中高速传播；使用内部包含的超大型“Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码表”猜口令的方式，重点攻击局域网中的计算机，感染整个局域网，造成网络瘫痪。

　　防范对策：升级金山毒霸到最新的病毒库，或下载“安哥”专杀工具（下载地址 http://db.kingsoft.com/download/3/100.shtml）；为系统打上MS03-026 RPC DCOM漏洞补丁(823980，下载地址http://support.microsoft.com/default.aspx?kbid=823980) 和MS03-007 WebDAV漏洞补丁(815021，下载地址http://support.microsoft.com/default.aspx?kbid=815021)，并为系统管理员帐号设置一个更为强壮的密码。

　　手工清除方法：WinXP用户右击“我的电脑”，选“属性”/系统还原，首先关闭系统还原功能；然后按Ctrl+Alt+Del调出任务管理器，单击“进程”打开进程管理器，找到名为scvhost.exe的进程，并将其结束；打开注册表，定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices，在右边的面板中, 找到并删除如下项目："Enabledcom" = "irun4.exe"；进入系统目录（\Winnt\System32或\Windows\System32)，找到文件“irun4.exe”将它删除，注意清空回收站内的内容。

　　五、网银类木马

　　此类木马专门攻击网上银行，采用记录键盘和系统动作的方法，盗取网银的帐号和密码，并发送到作者指定的邮箱，直接导致用户的经济损失。目前国内针对网上银行的犯罪已经开始出现，例如今年某大学生利用网上银行盗取60多万人民币，几名中专生利用“网银大盗”木马盗窃网上银行用户资金，他们都是利用网银木马进行盗窃的。

　　1、网银大盗A(Troj.KeyLog.a)

　　“网银大盗”的木马病毒专门攻击中国工商银行的网上银行用户（使用数字IP地址登录的用户），盗取用户的账号和密码。

　　网银大盗运行后会设置与IE的关联，只要你一打开IE，病毒即开始工作。病毒每隔0.5秒搜索用户的浏览器窗口，如果发现你正在工行网上银行的登录界面，就会自动转到数字IP地址页面，然后记录用户键入的帐号和密码，通过电子邮件发给病毒作者。

　　工行之前为方便客户使用网上银行，曾提供了一种无安全认证的登陆页面（即数字IP地址页面）。该页面仅核对帐号和密码，不检查用户的数字证书，因此只要窃取了帐号和密码，即可从此处侵入网上银行。目前工行已经堵住了这个漏洞、取消了该登录页面，要求所有的网银用户都必须到工行网站下载数字证书，否则将不能登陆网上银行。

　　2、防范对策

　　网上大盗系列属于键盘记录类木马，虽然出现了很多变种，但运行机制大致相同，可以使用以下方法来加以防范：

　　（1）、保管好自己的数字证书

　　数字证书是提供给用户的，它是银行辨识客户身份的最终手段，要登录有安全认证的网上银行，必须帐号、密码、数字证书三者都对才行！你要把数字证书堪称存折一样，加以妥善保管，平时要放在最安全的地方，记住数字证书丢了，就是你的存折丢失！数字证书最好不要保存在硬盘里，应该放在移动存储器中，建议购买电子钥匙，当需要做网上银行业务时候，再连上电脑，认证之后马上移除。如果你能这样做你的网上银行应该是安全的！

　　（2）、升级杀毒软件

　　安装带有隐私信息保护的杀毒软件（例如KV2004、金山毒霸等），并升级到最新的病毒库，开启病毒实时监控系统，启动隐私信息保护监视功能。

　　（3）、使用密码防盗工具

　　安装使用密码防盗的工具，例如“噬菌体防盗专家”、眼睛专杀工具等。“噬菌体防盗专家”可以对内存中的代码进行动态伪装，使对方截获的“猎物”只是一团无法识别的乱码，从而保护你输入的密码。另外，当木马要把窃取的密码向外发送时，它也可以进行拦截，并反馈用于接收密码的对方邮件账号。

　　第二部分：反木马软件篇

　　机器中一旦有木马入侵，如果你想手工删除木马，难度还是很大的，这要求你对木马特别了解，而且要找到木马文件删除之，还要修改注册表中相关项。其实你可以使用专门的反木马软件，这是查杀木马最简单的方法。目前反木马软件数量众多，著名的有金山毒霸木马专杀、诺顿安全特警、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。

　　金山毒霸木马专杀工具

　　软件版本：2004.9.27.2
　　软件大小：9.55 MB

　　金山木马专杀既是一个木马专杀工具（可以查杀2万多种木马），又是一个木马防火墙,可以有效地保护你的QQ号码、网游以及网络支付安全，快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。

　　升级木马病毒库

　　在查杀木马前，你应该先升级木马专杀的病毒库，以免病毒库版本低发现不了新木马，升级方法：从毒霸程序组中启动“金山毒霸木马专杀”，连上网，在打开的窗口中，单击“在线升级”按钮，打开升级向导窗口，然后按照向导提示，逐步完成木马病毒库的更新。