一个典型的木马一般具有哪些基本特征
一个典型的木马一般具有以下基本特征:
有效性:在整个网络入侵过程中,木马经常是整个过程中一个重要的环节和组成部分。木马运行在目标主机上就必须能够实现入侵者的某些企图,因此有效性就是指入侵的木马能够与其控制端(入侵者)建立某种有效联系,从而能够充分控制目标主机并窃取其中的敏感信息。因此有效性是木马病毒的一个最重要特点。入侵木马对目标主机的监控和信息采集能力也是衡量其有效性的一个重要内容。
隐蔽性:木马必须有能力长期潜伏于目标主机中而不被发现。一个隐蔽性差的木马往往容易暴露自己,进而被杀毒(或木马专杀)软件甚至用户手工检查出来,失去了木马存在的价值。因此,一个木马的隐蔽性越好,其生命周期就越长。
顽固性:当木马被检查出来(失去隐蔽性)之后,为继续确保其入侵的有效性,木马往往还具有另一个重要特性——顽固性。木马的顽固性是指有效清除木马的难易程度。如果一个木马在检查出来之后,仍然无法将其一次性有效清除,那么该木马就具有较强的顽固性。
易植入性:一个木马要能够发挥其作用,其先决条件是能够进入目标主机(植入操作)。因此,易植入性就成为木马有效性的首要条件。欺骗是自木马诞生起最常见的植入手段,所以一些使用广泛的工具软件就成为木马经常选择的隐藏处。利用系统漏洞进行木马植入也是木马入侵的一种重要途径。目前,木马技术与蠕虫技术的结合使得木马具有类似蠕虫的传播性,这也就极大提高了木马的易植入性。
自用运行性:木马的自动运行性是指木马会随着计算机系统的启动而自动运行,所以木马必须潜入计算机的启动配置文件中,如启动组或系统进程。直到目标计算机关闭时,木马才会停止运行。
欺骗性:木马之所以具有欺骗性是为了防止一眼就被计算机用户认出。为此,被木马感染的文件一般都用常用的文件名或扩展名,或者仿制一些不易被人区分的文件名,甚至干脆借用系统文件中已有的文件名,只不过他们被保存在不同的路径之中。
自动恢复:木马的自动恢复是指当木马的某一些功能模块丢失时,他能够自动回复为丢失之前的状态。现在很多木马的功能已不再是有单一的文件所组成,而是有多重备份,可以相互恢复的文件。
自动打开端口:木马潜入目标计算机的目的不是为了破坏文件,即使为了获取目标计算机中的有用信息,因此就需要保证能与目标计算机进行通信。木马会采用服务器/客户端的通信手段把获取到的有用信息传递给黑客,以便黑客能控制该计算机或实现更进一步的企图。
传统木马的防御方法:
定期进行补丁升级,升级到最新的安全补丁,可以有效地防止非法入侵。
下载软件时尽量到可信的官方网站或大型软件下载网站,在安装或打开来历不明的软件或文件前先用杀毒(包括清除木马)软件进行检查。
不随意打开不明网页链接,尤其是不良网站的链接。不要打开陌生人通过QQ发送的链接。
使用网络通信工具时,不轻易接收来路不明的文件,如果一定要接收,可在“工具”菜单栏的“文件夹选项”中取消“隐藏已知文件类型扩展名”选项,以便能够查看文件类型。
对计算机系统中的有关账户设置口令,并及时删除或禁用过期账户。
对重要文件进行定期备份,以便遭到木马破坏后能够迅速恢复。
关闭不用的端口,与外界进行通信是木马区别其他恶意代码的一个特征,所以为了防止木马入侵,一种有效的方法是关闭本机不用的端口或只允许指定的端口访问。
使用专杀木马的软件,对系统进行经常性的“体检”。
要注意查看进程,时时掌握系统运行状况,看看是否有一些不明进程正运行并及时终止不明的进程。