Question

什么是木马

Answer 1

“木马也称木马病毒 是指通过特定的程序来控制另一台计算机，木马通常有两个可执行程序：一个是控制端 另一个是被控制端，木马程序是目前比较流行的病毒文件 与一般的病毒不同 它不会自我繁殖。”
一、木马的来历
计算机木马是一种后门程序，常被黑客用作控制远程计算机的工具。英文单词“Trojan”，直译为“特洛伊”。木马这个词来源于一个古老的故事：相传古希腊战争，在攻打特洛伊时，久攻不下。后来希腊人使用了一个计策，用木头造一些大的木马，空肚子里藏了很多装备精良的勇士，然后佯装又一次攻打失败，逃跑时就把那个大木马遗弃。守城的士兵就把它当战利品带到城里去了。到了半夜，木马肚子里的勇士们都悄悄的溜出来，和外面早就准备好的战士们来了个漂亮的里应外合，一举拿下了特洛伊城。这就是木马的来历。从这个故事，大家很容易联想到计算机木马的功能。
二、计算机木马原理
计算机木马一般由两部分组成，服务端和控制端，也就是常用的C/S（CONTROL/SERVE）模式。
服务端（S端）：远程计算机机运行。一旦执行成功就可以被控制或者造成其他的破坏，这就要看种木马的人怎么想和木马本身的功能，这些控制功能，主要采用调用Windows的API实现，在早期的dos操作系统，则依靠DOS终端和系统功能调用来实现（INT 21H），服务段设置哪些控制，视编程者的需要，各不相同。
控制端（C端）也叫客户端，客户端程序主要是配套服务段端程序的功能，通过网络向服务段发布控制指令，控制段运行在本地计算机。
三、传播途径
木马的传播途径很多，常见的有如下几类：
1. 通过电子邮件的附件传播。这是最常见，也是最有效的一种方式，大部分病毒（特别是蠕虫病毒）都用此方式传播。首先，木马传播者对木马进行伪装，方法很多，如变形、压缩、脱壳、捆绑、取双后缀名等，使其具有很大的迷惑性。一般的做法是先在本地机器将木马伪装，再使用杀毒程序将伪装后的木马查杀测试，如果不能被查到就说明伪装成功。然后利用一些捆绑软件把伪装后的木马藏到一幅图片内或者其他可运行脚本语言的文件内，发送出去。
2. 通过下载文件传播。从网上下载的文件，即使大的门户网站也不能保证任何时候他的问件都安全，一些个人主页、小网站等就更不用说了。下载文件传播方式一般有两种，一种是直接把下载链接指向木马程序，也就是说你下载的并不是你需要的文件。另一种是采用捆绑方式，将木马捆绑到你需要下载的文件中。
3. 通过网页传播。大家都知道很多VBS脚本病毒就是通过网页传播的，木马也不例外。网页内如果包含了某些恶意代码，使得IE自动下载并执行某一木马程序。这样你在不知不觉中就被人种上了木马。顺便说一句，很多人在访问网页后IE设置被修改甚至被锁定，也是网页上用脚本语言编写的的恶意代码作怪。
4. 通过聊天工具传播。目前，QQ、ICQ、MSN、EPH等网络聊天工具盛行，而这些工具都具备文件传输功能，不怀好意者很容易利用对方的信任传播木马和病毒文件。