TR.Downloader.Gen

TR.Downloader.Gen用中文話來說是“木馬”。

利用計算機程式漏洞侵入後竊取檔案的程式程式被稱為木馬。它是一種具有隱藏性的、自發性的可被用來進行惡意行為的程式，多不會直接對電腦產生危害，而是以控制為主。

歷史上對計算機木馬的定義是，試圖以有用程式的假面具欺騙用戶允許其運行的一類滲透。請注意，過去的木馬確實是這樣，但現在它們已無需偽裝自己。它們唯一的目的就是儘可能輕鬆地滲透並完成其惡意目標。“木馬”已成為一個通用詞，用來形容不屬於任何特定類別的所有滲透。 　由於其涵蓋範圍非常廣，因此常被分為許多子類別。最著名的包括：downloader – 一種能夠從 Internet 下載其它滲透的惡意程式。 　dropper - 一種設計用於將其它類型惡意軟體放入所破壞的計算機中的木馬。 　backdoor - 一種與遠程攻擊者通信，允許它們獲得系統訪問權並控制系統的套用程式。 　keylogger –（按鍵記錄程式），是一種記錄用戶鍵入的每個按鍵並將信息傳送給遠程攻擊者的程式。 　dialer - 是用於連線附加計費號碼的程式。用戶幾乎無法注意到新連線的創建。Dialer 只能對使用撥號數據機（現在已很少使用）的用戶造成破壞。 　木馬通常採用帶有擴展名 .exe 的執行檔形式。如果計算機上的檔案被檢測為木馬，建議您將其刪除，因為它極有可能包含惡意代碼。

著名木馬示例包括：NetBus、Trojandownloader.Small.ZL、Slapper 、 TR.Downloader.Gen

在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。

一個完整的木馬系統由硬體部分，軟體部分和具體連線部分組成。 　(1)硬體部分：建立木馬連線所必須的硬體實體。控制端：對服務端進行遠程控制的一方。 服務端：被控制端遠程控制的一方。 INTERNET：控制端對服務端進行遠程控制，數據傳輸的網路載體。 　(2)軟體部分：實現遠程控制所必須的軟體程式。控制端程式：控制端用以遠程控制服務端的程式。 木馬程式：潛入服務端內部，獲取其操作許可權的程式。 木馬配置程式：設定木馬程式的連線埠號，觸發條件，木馬名稱等，使其在服務端藏得更隱蔽的程式。 　(3)具體連線部分：通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。 控制端IP，服務端IP：即控制端，服務端的網路地址，也是木馬進行數據傳輸的目的地。 控制端連線埠，木馬連線埠：即控制端，服務端的數據入口，通過這個入口，數據可直達控制端程式或木馬 程式。 　用木馬這種黑客工具進行網路入侵，從過程上看大致可分為六步(具體可見下圖)，下面我們就按這六步來詳細闡述木馬的攻擊原理。 　配置木馬： 　一般來說一個設計成熟的木馬都有木馬配置 　程式，從具體的配置內容看，主要是為了實現以下兩方 面功能： 　(1)木馬偽裝：木馬配置程式為了在服務端儘可能的好的隱藏木馬，會採用多種偽裝手段，如修改圖示 ，捆綁檔案，定製連線埠，自我銷毀等，我們將在“傳播木馬”這一節中詳細介紹。 　(2)信息反饋：木馬配置程式將就信息反饋的方式或地址進行設定，如設定信息反饋的郵件地址，IRC號 ，ICQ號等等，具體的我們將在“信息反饋”這一節中詳細介紹。

木馬和遠程控制

常規遠程控制軟體和木馬的共同點

1、常規遠程控制軟體和木馬都是用一個客戶端通過網路來控制服務端，控制端可以是WEB，也可以是手機，或者電腦，可以說控制端植入哪裡，哪裡就可以成為客戶端，服務端也同樣如此；　 　2、常規遠程控制軟體和木馬都可以進行遠程資源管理，比如檔案上傳下載修改；　 　3、常規遠程控制軟體和木馬都可以進行遠程螢幕監控，鍵盤記錄，進程和視窗查看。

常規遠程控制軟體和木馬的區別

1、木馬有破壞性：比如DDOS攻擊、下載者功能、格式化硬碟、肉雞和代理功能；　 　2、木馬有隱蔽性：木馬最顯著的特徵就是隱蔽性，也就是服務端是隱藏的，並不在被控者桌面顯示，不被被控者察覺，這樣一來無疑增加了木馬的危害性，也為木馬竊取密碼提供了方便之門。

木馬的傳播方式主要有兩種：一種是通過E-MAIL，控制端將木馬程式以附屬檔案的形式夾在郵件中傳送出去，收信人只要打開附屬檔案系統就會感染木馬；另一種是軟體下載，一些非正規的網站以提供軟體下載為名義，將木馬捆綁在軟體安裝程式上，下載後，只要一運行這些程式，木馬就會自動安裝。

鑒於木馬的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑制作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目的。 　(一)修改圖示 　當你在E-MAIL的附屬檔案中看到這個圖示時,是否會認為這是個文本檔案呢?但是我不得不告 訴你,這也有可能是個木馬程式,現在 已經有木馬可以將木馬服務端程式的圖示改成HTML,TXT, ZIP等各種檔案的圖示,這有相當大的迷 惑性,但是目前提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提心弔膽,疑神疑鬼的。 　(二)捆綁檔案 　這種偽

裝手段是將木馬捆綁到一個安裝程式上，當安裝程式運行時，木馬在用戶毫無察覺的情況下，偷偷的進入了系統。至於被捆綁的檔案一般是執行檔(即EXE,COM一類的檔案)。 　(三)出錯顯示 　有一定木馬知識的人都知道，如果打開一個檔案，沒有任何反應，這很可能就是個木馬程式，木馬的設計者也意識到了這個缺陷，所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程式時，會彈出一個錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如“檔案已破壞，無法打開的！”之類的信息，當服務端用戶信以 為真時,木馬卻悄悄侵入了系統。 　(四)定製連線埠 　很多老式的木馬連線埠都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 連線埠就 知道感染了什麼木馬,所以現在很多新式的木馬都加入了定製連線埠的功能,控制端用戶可 以在1024---65535之間任選一個連線埠作為木馬連線埠(一般不選1024以下的連線埠)，這樣就給判斷 所感染木馬類型帶 來了麻煩。 　(五)自我銷毀 　這

項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的檔案後，木馬會將自己拷貝到WINDOWS的系統資料夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下)，一般來說 原木馬檔案 和系統資料夾中的木馬檔案的大小是一樣的(捆綁檔案的木馬除外),那么中了木馬 的朋友只要在近來 收到的信件和下載的軟體中找到原木馬檔案,然後根據原木馬的大小去系統 資料夾找相同大小的檔案, 判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後，原木馬檔案將自動銷毀，這樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工 具幫助下，就很難刪除木馬了。 　(六)木馬更名 　安裝到系統資料夾中的木馬的檔案名稱一般是固定的，那么只要根據一些查殺木馬的文章,按 圖索驥在系統資料夾查找特定的檔案,就可以斷定中了什麼木馬。所以現在有很多木馬都允許控 制端用戶自由定製安裝後的木馬檔案名稱，這樣很難判斷所感染的木馬類型了。

服務 端用戶運行木馬或捆綁木馬的程式後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的 系統資料夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),然後在註冊表,啟動組,非啟動組中設定好木馬 的觸發條件 ,這樣木馬的安裝就完成了。安裝後就可以啟動木馬了，具體過程見下文： 　①由自啟動激活木馬 　自啟動木馬的條件,大致出現在下面6個地方: 　1.註冊表:打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五個以Run 和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。 　2.WIN.INI:C:WINDOWS目錄下有一個配置檔案win.ini，用文本方式打開，在[windows]欄位中有啟動 命令 load=和run=,在一般情況下是空白的,如果有啟動程式,可能是木馬。 　3.SYSTEM.INI:C:WINDOWS目錄下有個配置檔案system.ini，用文本方式打開，在[386Enh],[mci]， [drivers32]中有命令行,在其中尋找木馬的啟動命令。 　4.Autoexec.bat和Config.sys:在C糟根目錄下的這兩個檔案也可以啟動木馬。但這種載入方式一般都 需要控制端用戶與服務端建立連線後，將已添加木馬啟動命令的同名 檔案上傳 到服務端覆蓋這兩個檔案才行。 　5.*.INI:

即套用程式的啟動配置檔案，控制端利用這些檔案能啟動程式的特點，將製作好的帶有木馬啟動命令的同名檔案上傳到服務端覆蓋這同名檔案，這樣就可以達到啟動木馬的目的了。 　6.啟動選單:在“開始---程式---啟動”選項下也可能有木馬的觸發條件。 　②由觸髮式激活木馬 　1.註冊表:打開HKEY_CLASSES_ROOT檔案類型\shellopencommand主鍵,查看其鍵值。舉個例子,國產 木馬“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的鍵值,將“C :WINDOWS NOTEPAD.EXE %1”改為“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”，這時你雙 擊一個TXT檔案 後，原本套用NOTEPAD打開檔案的，現在卻變成啟動木馬程式了。還要說明 的是不光是TXT檔案 ，通過修改HTML，EXE，ZIP等檔案的啟動命令的鍵值都可以啟動木馬 ，不同之處只在於“檔案類型”這個主鍵的差別，TXT是txtfile,ZIP是WINZIP，大家可以 試著去找一下。 　2.捆綁檔案:實現這種觸發條件首先要控制端和服務端已通過木馬建立連線，然後控制端用戶用工具 軟體將木馬檔案和某一套用程式捆綁在一起，然後上傳到服務端覆蓋原檔案，這樣即使 木馬被刪 除了，只要運行捆綁了木馬的應用程式，木馬又會被安裝上去了。 　3.自動播

放式:自動播放本是用於光碟的，當插入一個電影光碟到光碟機時，系統會自動播放裡面的內容，這就是自動播放的本意，播放什麼是由光碟中的AutoRun.inf檔案指定的，修改AutoRun.inf中的open一行可以指定在自動播放過程中運行的程式。後來有人用於了硬碟與隨身碟，在隨身碟或硬碟的分區，創建Autorun.inf檔案，並在Open中指定木馬程式，這樣，當你打開硬碟分區或隨身碟時，就會觸發木馬程式的運行。 　木馬作者還在不斷尋找“可乘之機”這裡只是舉例，又有不斷的自啟動的地方被挖掘出來。 　(2)木馬運行過程 　木馬被激活後，進入記憶體，並開啟事先定義的木馬連線埠，準備與控制端建立連線。這時服務端用 戶可以在MS-DOS方式下，鍵入NETSTAT -AN查看連線埠狀態，一般個人電腦在脫機狀態下是不會有連線埠 開放的，如果有連線埠開放，你就要注意是否感染木馬了。下面是電腦感染木馬後，用NETSTAT命令查 看連線埠的兩個實例： 　其中①是服務端與控制端建立連線時的顯示狀態，②是服務端與控制端還未建立連線時的顯示狀態。 　在上網過程中要下載軟體，傳送信件，網上聊天等必然打開一些連線埠，下面是一些常用的連線埠： 　(1)1---1024之間的連線埠：這些連線埠叫保留連線埠，是專給一些對外通訊的程式用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木馬會用保留連線埠作為木馬連線埠 的。 　(2)1025以上的連續連線埠：在上網瀏覽網站時，瀏覽器會打開多個連續的連線埠下載文字，圖片到本地 硬碟上，這些連線埠都是1025以上的連續連線埠。 　(3)4000連線埠：這是OICQ的通訊連線埠。 　(4)6667連線埠：這是IRC的通訊連線埠。 除上述的連線埠基本可以排除在外，如發現還有其它連線埠打開，尤其是數值比較大的連線埠，那就要懷疑 是否感染了木馬，當然如果木馬有定製連線埠的功能，那任何連線埠都有可能是木馬連線埠。

一般來說，設計成熟的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝後會收集 一些服務端的軟硬體信息，並通過E-MAIL，IRC或ICQ的方式告知控制端用戶。 　從反饋信息中控制端可以知道服務端的一些軟硬體信息，包括使用的作業系統，系統目錄，硬碟分區況， 系統口令等，在這些信息中，最重要的是服務端IP，因為只有得到這個參數，控制端才能與服務端建立 連線，具體的連線方法我們會在下一節中講解。

這一節我們講解一下木馬連線是怎樣建立的 。一個木馬連線的建立首先必須滿足兩個條件：一是 服務端已安裝了木馬程式；二是控制端，服務端都要線上 。在此基礎上控制端可以通過木馬連線埠與服 務端建立連線。 　假設A機為控制端，B機為服務端，對於A機來說要與B機建立連線必須知道B機的木馬連線埠和IP地 址，由於木馬連線埠是A機事先設定的，為已知項，所以最重要的是如何獲得B機的IP位址。獲得B機的IP 地址的方法主要有兩種：信息反饋和IP掃描。對於前一種已在上一節中已經介紹過了，不再贅述，我們 重點來介紹IP掃描，因為B機裝有木馬程式，所以它的木馬連線埠7626是處於開放狀態的，所以現在A機只 要掃描IP位址段中7626連線埠開放的主機就行了，例如圖中B機的IP位址是202.102.47.56，當A機掃描到 這個IP時發現它的7626連線埠是開放的，那么這個IP就會被添加到列表中，這時A機就可以通過木馬的控 制端程式向B機發出連線信號，B機中的木馬程式收到信號後立即作出回響，當A機收到回響的信號後， 開啟一個隨即連線埠1031與B機的木馬連線埠7626建立連線，到這時一個木馬連線才算真正建立。值得一提 的要掃描整個IP位址段顯然費時費力，一般來說控制端都是先通過信息反饋獲得服務端的IP位址，由於 撥接的IP是動態的，即用戶每次上網的IP都是不同的，但是這個IP是在一定範圍內變動的，如圖中 B機的IP是202.102.47.56，那么B機上網IP的變動範圍是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜尋這個IP位址段就可以找到B機了。

木馬連線建立後，控制端連線埠和木馬連線埠之間將會出現一條通道。 　控制端上的控制端程式可藉這條通道與服務端上的木馬程式取得聯繫,並通過木馬程式對服務端進行遠 程控制。下面我們就介紹一下控制端具體能享有哪些控制許可權，這遠比你想像的要大。 　(1)竊取密碼：一切以明文的形式，*形式或快取在CACHE中的密碼都能被木馬偵測到，此外很多木馬還 提供有擊鍵記錄功能，它將會記錄服務端每次敲擊鍵盤的動作，所以一旦有木馬入侵， 密碼將很容易被竊取。 　(2)檔案操作：控制端可藉由遠程控制對服務端上的檔案進行刪除,新建,修改,上傳,下載,運行,更改屬 性等一系列操作,基本涵蓋了WINDOWS平台上所有的檔案操作功能。 　(3)修改註冊表：控制端可任意修改服務端註冊表，包括刪除，新建或修改主鍵，子鍵，鍵值。有了這 項功能控制端就可以禁止服務端軟碟機，光碟機的使用，鎖住服務端的註冊表，將服務端 上木馬的觸發條件設定得更隱蔽的一系列高級操作。 　(4)系統操作：這項內容包括重啟或關閉服務端作業系統，斷開服務端網路連線，控制服務端的滑鼠， 鍵盤，監視服務端桌面操作，查看服務端進程等，控制端甚至可以隨時給服務端傳送信息，想像一下，當服務端的桌面上突然跳出一段話，不嚇人一跳才怪 　木馬和病毒都是一種人為的程式,都屬於電腦病毒,為什麼木馬要單獨提出來說呢?大家都知道以前的電腦病毒的作用,其實完全就是為了搞破壞,破壞電腦里的資料數據,除了破壞之外其它無非就是有些病毒製造者為了達到某些目的而進行的威懾和敲詐勒索的作用,或為了炫耀自己的技術. “木馬”不一樣,木馬的作用是赤裸裸的偷偷監視別人和盜竊別人密碼,數據等,如盜竊管理員密碼-子網密碼搞破壞,或者好玩,偷竊上網密碼用於它用,遊戲帳號,股票帳號,甚至網上銀行帳戶等.達到偷窺別人隱私和得到經濟利益的目的.所以木馬的作用比早期的電腦病毒更加有用.更能夠直接達到使用者的目的!導致許多別有用心的程式開發者大量的編寫這類帶有偷竊和監視別人電腦的侵入性程式,這就是目前網上大量木馬泛濫成災的原因.鑒於木馬的這些巨大危害性和它與早期病毒的作用性質不一樣,所以木馬雖然屬於病毒中的一類,但是要單獨的從病毒類型中間剝離出來.獨立的稱之為“木馬”程式. 　一般來說一種防毒軟體程式,它的木馬專殺程式能夠查殺某某木馬的話,那么它自己的普通防毒程式也當然能夠殺掉這種木馬,因為在木馬泛濫的今天,為木馬單獨設計一個專門的木馬查殺工具,那是能提高該防毒軟體的產品檔次的,對其聲譽也大大的有益,實際上一般的普通防毒軟體里都包含了對木馬的查殺功能.如果現在大家說某某防毒軟體沒有木馬專殺的程式,那這家防毒軟體廠商自己也好像有點過意不去,即使它的普通防毒軟體里當然的有殺除木馬的功能. 　還有一點就是,把查殺木馬程式單獨剝離出來,可以提高查殺效率,現在很多防毒軟體里的木馬專殺程式只對木馬進行查殺,不去檢查普通病毒庫里的病毒代碼,也就是說當用戶運行木馬專殺程式的時候,程式只調用木馬代碼庫里的數據,而不調用病毒代碼庫里的數據,大大提高木馬查殺速度.我們知道查殺普通病毒的速度是比較慢的,因為現在有太多太多的病毒.每個檔案要經過幾萬條木馬代碼的檢驗,然後再加上已知的差不多有近10萬個病毒代碼的檢驗,那速度豈不是很慢了.省去普通病毒代碼檢驗,是不是就提高了效率,提高了速度呢? 也就是說現在好多防毒軟體自帶的木馬專殺程式只查殺木馬而一般不去查殺病毒,但是它自身的普通病毒查殺程式既查殺病毒又查殺木馬! 　木馬的作用是赤裸裸的偷偷監視別人和盜竊別人密碼,數據等

現在我們來說防範木馬的方法之一，就是把 windows\system\mshta.exe檔案改名， 　改成什麼自己隨便 (xp和win2000是在system32下) 　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下為Active Setup controls創建一個基於CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然後在新鍵值下創建一個REG_DWORD 類型的鍵Compatibility，並設定鍵值為0x00000400即可。 　還有windows\command\debug.exe和windows\ftp.exe都給改個名字 (或者刪除) 　一些最新流行的木馬 最有效果的防禦~~ 　比如網路上流行 的木馬 smss.exe這個是其中一種木馬的主體 潛伏在 98/winme/xp c:\windows目錄下 2000 c:\winnt ..... 　假如你中了這個木馬 首先我們用進程管理器結束 正在運行的木馬smss.exe 然後在C:\windows 或 c:\winnt\目錄下 創建一個假的 smss.exe 並設定為唯讀屬性~ （2000/XP NTFS的磁碟格式的話那就更好 可以用“安全設定” 設定為讀取） 這樣木馬沒了~ 以後也不會在感染了這個辦法本人測試過對很多木馬都很有效果的 　經過這樣的修改後，我現在專門找別人發的木馬網址去測試，實驗結果是上了大概20個木馬網站，有大概15個瑞星會報警，另外5個瑞星沒有反映，而我的機器沒有添加出來新的EXE檔案，也沒有新的進程出現，只不過有些木馬的殘骸留在了IE的臨時資料夾里，他們沒有被執行起來，沒有危險性，所以建議大家經常清理 臨時資料夾和IE 　隨著病毒編寫技術的發展，木馬程式對用戶的威脅越來越大，尤其是一些木馬程式採用了極其狡猾的手段來隱蔽自己，使普通用戶很難在中毒後發覺。 　防治木馬的危害，應該採取以下措施： 　第一，安裝防毒軟體和個人防火牆，並及時升級。 　第二，把個人防火牆設定好安全等級，防止未知程式向外傳送數據。 　第三，可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。 　第四，如果使用IE瀏覽器，應該安裝卡卡安全助手或360安全瀏覽器，防止惡意網站在自己電腦上安裝不明軟體和瀏覽器外掛程式，以免被木馬趁機侵入。 　遠程控制的木馬有：冰河，灰鴿子，上興,PCshare，網路神偷，FLUX等，現在通過執行緒插入技術的木馬也有很多.現在的木馬程式常常和和DLL檔案息息相關，被很多人稱之為“DLL木馬”。DLL木馬的最高境界是執行緒插入技術，執行緒插入技術指的是將自己的代碼嵌入正在運行的進程中的技術。理論上說，在Windows中的每個進程都有自己的私有記憶體空間，別的進程是不允許對這個私有空間進行操作的，但是實際上，我們仍然可以利用種種方法進入並操作進程的私有記憶體，因此也就擁有了那個遠程進程相當的許可權。無論怎樣，都是讓木馬的核心代碼運行於別的進程的記憶體空間，這樣不僅能很好地隱藏自己，也能更好地保護自己。 　DLL不能獨立運行，所以要想讓木馬跑起來，就需要一個EXE檔案使用動態嵌入技術讓DLL搭上其他正常進程的車，讓被嵌入的進程調用這個DLL的 DllMain函式，激發木馬運行，最後啟動木馬的EXE結束運行，木馬啟動完畢。啟動DLL木馬的EXE是個重要角色，它被稱為Loader， Loader可以是多種多樣的，Windows的Rundll32.exe也被一些DLL木馬用來作為Loader，這種木馬一般不帶動態嵌入技術，它直接注入Rundll32進程運行，即使你殺了Rundll32進程，木馬本體還是存在的。利用這種方法除了可以啟動木馬之外，不少套用程式也採用了這種啟動方式，一個最常見的例子是“3721網路實名”。 　“3721網路實名”就是通過Rundll32調用“網路實名”的DLL檔案實現的。在一台安裝了網路實名的計算機中運行註冊表編輯器，依次展開 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”，發現一個名為“CnsMin”的啟動項，其鍵值為“Rundll32 C:\WINDOWS\Downlo~1\CnsMin.dll,Rundll32”，CnsMin.dll是網路實名的DLL檔案，這樣就通過 Rundll32命令實現了網路實名的功能。 　簡單防禦方法 　DLL木馬的查殺比一般病毒和木馬的查殺要更加困難，建議用戶經常看看系統的啟動項中有沒有多出莫名其妙的項目，這是DLL木馬Loader可能存在的場所之一。如果用戶有一定的編程知識和分析能力，還可以在Loader里查找DLL名稱，或者從進程里看多掛接了什麼陌生的DLL。對普通用戶來說，最簡單有效的方法還是用防毒軟體和防火牆來保護自己的計算機安全。現在有一些國外的防火牆軟體會在DLL檔案載入時提醒用戶，比如Tiny、SSM等，這樣我們就可以有效地防範惡意的DLL木馬了。 　禁用系統還原（Windows Me/XP）　如果您運行的是 Windows Me 或 Windows XP，建議您暫時關閉“系統還原”。此功能默認情況下是啟用的，一旦計算機中的檔案被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。 　Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此，防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。 　此外，病毒掃描可能還會檢測到 System Restore 資料夾中的威脅，即使您已將該威脅刪除。 　注意：蠕蟲移除乾淨後，請按照上述文章所述恢復系統還原的設定。 　將計算機重啟到安全模式或者 VGA 模式　 　關閉計算機，等待至少 30 秒鐘後重新啟動到安全模式或者 VGA 模式 　Windows 95/98/Me/2000/XP 用戶：將計算機重啟到安全模式。所有 Windows 32-bit 作系統，除了Windows NT，可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。 　Windows NT 4 用戶：將計算機重啟到 VGA 模式。 　掃描和刪除受感染檔案啟動防病毒程式，並確保已將其配置為掃描所有檔案。運行完整的系統掃描。如果檢測到任何檔案被 Download.Trojan 感染，請單擊“刪除”。如有必要，清除 Internet Explorer 歷史和檔案。如果該程式是在 Temporary Internet Files 資料夾中的壓縮檔案內檢測到的，請執行以下步驟： 　啟動 Internet Explorer。單擊“工具”>“Internet 選項”。單擊“常規”選項卡“Internet 臨時檔案”部分中，單擊“刪除檔案”，然後在出現提示後單擊“確定”。在“歷史”部分，單擊“清除歷史”，然後在出現提示後單擊“是”。 　木馬病毒專殺工具　木馬是怎么盜號呢? 　在你不知道的情況下，你輸入密碼，它自動記錄你的鍵盤輸入！發到指定的信箱，在一個情況就是，輸入密碼明明是對的，但提示你說密碼不正確，需要從新輸入，這也可能是木馬盜號！提醒後不要馬上登入，要先查毒，確保電腦沒用病毒在登錄！在一個就是灰鴿子，灰鴿子更新，有的是免殺的，你殺軟都查不到！一旦點開它，你的電腦自動在他主人的機子上顯示，他就可以控制你的電腦了！只有嘗試急救箱，比如360急救箱，金山急救箱！

木馬是隨計算機或Windows的啟動而啟動並掌握一定的控制權的，其啟動方式可謂多種多樣，通過註冊表啟動、通過System.ini啟動、通過某些特定程式啟動等，真是防不勝防。其實只要能夠遏制住不讓它啟動，木馬就沒什麼用了，這裡就簡單說說木馬的啟動方式，知己知彼百戰不殆嘛。 　通過“開始\程式\啟動”　 　隱蔽性：2星 　套用程度：較低 　這也是一種很常見的方式，很多正常的程式都用它，大家常用的QQ就是用這種方式實現自啟動的，但木馬卻很少用它。因為啟動組的每人會會出現在“系統配置實用程式”（msconfig.exe，以下簡稱msconfig）中。事實上，出現在“開始”選單的“程式\啟動”中足以引起菜鳥的注意，所以，相信不會有木馬用這種啟動方式。 　通過Win.ini檔案　 　隱蔽性：3星 　套用程度：較低 　同啟動組一樣，這也是從Windows3.2開始就可以使用的方法，是從Win16遺傳到Win32的。在Windows3.2中，Win.ini就相當於Windows9x中的註冊表，在該檔案中的[Windows]域中的load和run項會在Windows啟動時運行，這兩個項目也會出現在msconfig中。而且，在Windows98安裝完成後這兩項就會被Windows的程式使用了，也不很適合木馬使用。 　通過註冊表啟動　 　1、通過HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run， 　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和 　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 　隱蔽性：3.5星 　套用程度：極高 　套用案例：BO2000，GOP，NetSpy，IEthief，冰河…… 　這是很多Windows程式都採用的方法，也是木馬最常用的。使用非常方便，但也容易被人發現，由於其套用太廣，所以幾乎提到木馬，就會讓人想到這幾個註冊表中的主鍵，通常木馬會使用最後一個。使用Windows自帶的程式：msconfig或註冊表編輯器（regedit.exe，以下簡稱regedit）都可以將它輕易的刪除，所以這種方法並不十分可靠。但可以在木馬程式中加一個時間控制項，以便實時監視註冊表中自身的啟動鍵值是否存在，一旦發現被刪除，則立即重新寫入，以保證下次Windows啟動時自己能被運行。這樣木馬程式和註冊表中的啟動鍵值之間形成了一種互相保護的狀態。木馬程式未中止，啟動鍵值就無法刪除（手工刪除後，木馬程式又自動添加上了），相反的，不刪除啟動鍵值，下次啟動Windows還會啟動木馬。怎么辦呢？其實破解它並不難，即使在沒有任何工具軟體的情況下也能輕易解除這種互相保護。 　破解方法：首先，以安全模式啟動Windows，這時，Windows不會載入註冊表中的項目，因此木馬不會被啟動，相互保護的狀況也就不攻自破了；然後，你就可以刪除註冊表中的鍵值和相應的木馬程式了。 　2、通過HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce， 　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和 　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 　隱蔽性：4星 　套用程度：較低 　套用案例：Happy99月 　這種方法好像用的人不是很多，但隱蔽性比上一種方法好，它的內容不會出現在msconfig中。在這個鍵值下的項目和上一種相似，會在Windows啟動時啟動，但Windows啟動後，該鍵值下的項目會被清空，因而不易被發現，但是只能啟動一次，木馬如何能發揮效果呢？ 　其實很簡單，不是只能啟動一次嗎？那木馬啟動成功後再在這裡添加一次不就行了嗎？在Delphi中這不過3、5行程式。雖說這些項目不會出現在msconfig中，但是在Regedit中卻可以直接將它刪除，那么木馬也就從此失效了。 　還有一種方法，不是在啟動的時候加而是在退出Windows的時候加，這要求木馬程式本身要截獲WIndows的訊息，當發現關閉Windows訊息時，暫停關閉過程，添加註冊表項目，然後才開始關閉Windows，這樣用Regedit也找不到它的蹤跡了。這種方法也有個缺點，就是一旦Windows異常中止（對於Windows9x這是經常的），木馬也就失效了。 　破解他們的方法也可以用安全模式。 　另外使用這三個鍵值並不完全一樣，通常木馬會選擇第一個，因為在第二個鍵值下的項目會在Windows啟動完成前運行，並等待程式結束會才繼續啟動Windows。 　通過Autoexec.bat檔案　 　winstart.bat，config.sys檔案 　隱蔽性：3.5星 　套用程度：較低 　其實這種方法並不適合木馬使用，因為該檔案會在Windows啟動前運行，這時系統處於DOS環境，只能運行16位套用程式，Windows下的32位程式是不能運行的。因此也就失去了木馬的意義。不過，這並不是說它不能用於啟動木馬。可以想像，SoftIce for Win98（功能強大的程式調試工具，被黑客奉為至寶，常用於破解應用程式）也是先要在Autoexec.bat檔案中運行然後才能在Windows中呼叫出視窗，進行調試的，既然如此，誰能保證木馬不會這樣啟動呢？到目前為止，我還沒見過這樣啟動的木馬，我想能寫這樣木馬的人一定是高手中的高手了。 　另外，這兩個BAT檔案常被用於破壞，它們會在這個檔案中加入類似“Deltree C：\*.*”和“Format C：/u”的行，這樣，在你啟動計算機後還未啟動Windows，你的C糟已然空空如也。 　通過System.ini檔案　 　隱蔽性：5星 　套用程度：一般 　事實上，System.ini檔案並沒有給用戶可用的啟動項目，然而通過它啟動卻是非常好用的。在System.ini檔案的[Boot]域中的Shell項的值正常情況下是“Explorer.exe”，這是Windows的外殼程式，換一個程式就可以徹底改變Windows的面貌（如改為Progman.exe就可以讓Win9x變成Windows3.2）。我們可以在“Explorer.exe”後加上木馬程式的路徑，這樣Windows啟動後木馬也就隨之啟動，而且即使是安全模式啟動也不會跳過這一項，這樣木馬也就可以保證永遠隨Windows啟動了，名噪一時的尼姆達病毒就是用的這種方法。這時，如果木馬程式也具有自動檢測添加Shell項的功能的話，那簡直是天衣無縫的絕配，我想除了使用查看進程的工具中止木馬，再修改Shell項和刪除木馬檔案外是沒有破解之法了。但這種方式也有個先天的不足，因為只有Shell這一項嘛，如果有兩個木馬都使用這種方式實現自啟動，那么後來的木馬可能會使前一個無法啟動，呵呵以毒攻毒啊。 　通過某特定程式或檔案啟動　 　1、寄生於特定程式之中 　隱蔽性：5星 　套用程度：一般 　即木馬和正常程式捆綁，有點類似於病毒，程式在運行時，木馬程式先獲得控制權或另開一個執行緒以監視用戶操作，截取密碼等，這類木馬編寫的難度較大，需要了解PE檔案結構和Windows的底層知識（直接使用捆綁程式除外）。 　2、將特定的程式改名 　隱蔽性：5星 　套用程度：常見 　這種方式常見於針對QQ的木馬，例如將QQ的啟動檔案QQ2000b.exe，改為QQ2000b.ico.exe（Windows默認是不顯示擴展名的，因此它會被顯示為QQ2000b.ico，而用戶會認為它是一個圖示），再將木馬程式改為QQ2000b.exe，此後，用戶運行QQ，實際是運行了QQ木馬，再由QQ木馬去啟動真正的QQ，這種方式實現起來要比上一種簡單的多。 　3、檔案關聯　隱蔽性：5星 　套用程度：常見 　通常木馬程式會將自己和TXT檔案或EXE檔案關聯，這樣當你打開一個文本檔案或運行一個程式時，木馬也就神不知鬼不覺的啟動了。 　這類通過特定程式或檔案啟動的木馬，發現比較困難，但查殺並不難。一般地，只要刪除相應的檔案和註冊表鍵值即可。

1、集成到程式中　由於用戶一般不會運行主動程式，而種木馬者為了吸引用戶運行，他們會將木馬檔案和其它應用程式進行捆綁，用戶看到的只是正常的程式。但是你一旦運行之後，不僅該正常的程式運行，而且捆綁在一起的木馬程式也會在後台偷偷運行。 　這種隱藏在其它套用程式之中的木馬危害比較大，而且不容易發現。如果捆綁到系統檔案中，那么則會隨Windows啟動而運行。不過只要我們安裝個人防火牆或者啟用Windows XP SP2中的Windows防火牆，那么在木馬服務端試圖連線種木馬的客戶端時，則會詢問是否放行，據此即可判斷出自己有無中木馬。 　2、隱藏在媒體檔案中　這種類型嚴格上說，用戶還沒有中木馬。不過它的危害容易被人忽略。因為大家對影音檔案的警惕性不高。它的常用手段是在媒體檔案中插入一段代碼，代碼中包含了一個網址，當播放到指定時間時即會自動訪問該網址，而該網址所指頁面的內容卻是一些網頁木馬或其它危害。 　因此，當我們在播放網上下載的影片時，如果發現突然打開了視窗，那么切不可好奇而應將其立即關閉，然後跳過該時間段影片的播放。 　3、隱藏在System.ini　4、隱藏在Win.ini　與System.ini相似，Win.ini中也是木馬喜歡載入的一個地方。對此我們可以打開系統目錄下的Win.ini檔案，然後查看[Windows]區域“load=”和“run=”，正常情況下它們後面應該是空白，如果你發現它們後面加了某個程式，那么載入的程式則可能是木馬，需要將它們刪除。 　5、隱藏在Autoexec.bat　在C糟根目錄下有一個Autoexec.bat檔案，這裡的內容將會在系統啟動時自動運行。與該檔案類似的還有Config.sys。因為它自動運行，因此也成為木馬的一個藏身之地。對此我們同樣需要打開這兩個檔案，檢查裡面是否載入了來歷不明的程式在運行。 　6、任務管理器　部分木馬運行後我們可以在任務管理器中找出它的蹤跡。在系統列上右擊，在彈出的選單中選擇“任務管理器”，將打開的視窗切換到“進程”標籤，在這裡查看有沒有占用較多資源的進程，有沒有不熟悉的進程。若有，可以先試著將它們關閉。另外要特別注意Explorer.exe這類進程，因為很多木馬會使用Exp1orer.exe進程名，即把l換成1，用戶不仔細查看，還以為是系統進程呢。 　7、啟動　在Windows XP中，我們可以運行“msconfig”，將打開的視窗切換到“啟動”標籤，在這裡可以看到所有啟動載入的項目，此時就可以根據“命令”和“位置”來判斷是啟動載入的是否為木馬。如果判斷為木馬則可以將其啟動取消，然後再作進一步的處理。 　8、註冊表　我們程式的運行控制大多是由註冊表控制的，因此我們有必要對註冊表進行檢查。運行“regedit”打開註冊表編輯器，然後依次檢查如下區域： 　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、 　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、 　HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion，看看這三個區域下所有以“run”開頭的鍵值，如果鍵值的內容指向一些隱藏的檔案或自己從未安裝過的程式，那么這些則很可能是木馬了。 　木馬之所以能夠為非作歹，正是因為其善於隱藏自己。不過我們掌握了其藏身之處，那么則可以將其一一清除。當然，木馬在實際的偽裝隱藏自己中，可能會綜合使用上面一種或幾種方法來偽裝，這就需要我們在檢查清除時，不能只檢查其中的部分地點。

新人快速上手指南之電腦木馬查殺大全 常在河邊走，哪有不濕腳？所以有時候上網時間長了，很有可能被攻擊者在電腦中種了木馬。如何來知道電腦有沒有被裝了木馬呢？ 　一、手工方法：　1、檢查網路連線情況 　由於不少木馬會主動偵聽連線埠，或者會連線特定的IP和連線埠，所以我們可以在沒有正常程式連線網路的情況下，通過檢查網路連情情況來發現木馬的存在。具體的步驟是點擊“開始”->“運行”->“cmd”，然後輸入netstat -an這個命令能看到所有和自己電腦建立連線的IP以及自己電腦偵聽的連線埠，它包含四個部分——proto(連線方式)、local address(本地連線地址)、foreign address(和本地建立連線的地址)、state(當前連線埠狀態)。通過這個命令的詳細信息，我們就可以完全監控電腦的網路連線情況。 　2、查看目前運行的服務 　服務是很多木馬用來保持自己在系統中永遠能處於運行狀態的方法之一。我們可以通過點擊“開始”->“運行”->“cmd”，然後輸入“net start”來查看系統中究竟有什麼服務在開啟，如果發現了不是自己開放的服務，我們可以進入“服務”管理工具中的“服務”，找到相應的服務，停止並禁用它。 　3、檢查系統啟動項 　由於註冊表對於普通用戶來說比較複雜，木馬常常喜歡隱藏在這裡。檢查註冊表啟動項的方法如下：點擊“開始”->“運行”->“regedit”，然後檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。 　Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個檔案看看，在該檔案的[boot]欄位中，是不是有shell=Explorer.exe file.exe這樣的內容，如有這樣的內容，那這裡的file.exe就是木馬程式了！ 　4、檢查系統帳戶 　惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機。他們採用的方法就是激活一個系統中的默認賬戶，但這個賬戶卻很少用的，然後把這個賬戶的許可權提升為管理員許可權，這個帳戶將是系統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。針對這種情況，可以用以下方法對賬戶進行檢測。 　點擊“開始”->“運行”->“cmd”，然後在命令行下輸入net user，查看計算機上有些什麼用戶，然後再使用“net user 用戶名”查看這個用戶是屬於什麼許可權的，一般除了Administrator是administrators組的，其他都不應該屬於administrators組，如果你發現一個系統內置的用戶是屬於administrators組的，那幾乎可以肯定你被入侵了。快使用“net user用戶名/del”來刪掉這個用戶吧！ 　如果檢查出有木馬的存在，可以按以後步驟進行殺木馬的工作。 　1、運行任務管理器，殺掉木馬進程。 　2、檢查註冊表中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址， 再將可疑的刪除。 　3、刪除上述可疑鍵在硬碟中的執行檔案。 　4、一般這種檔案都在WINNT，SYSTEM，SYSTEM32這樣的資料夾下，他們一般不會單獨存在，很可能是有某個母檔案複製過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat檔案，有則刪除之。 　5、檢查註冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的幾項(如Local Page)，如果被修改了，改回來就可以。 　6、檢查HKEY_CLASSES_ROOT\txtfile\shell\open\command和　HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個常用檔案類型的默認打開程式是否被更改。這個一定要改回來。很多病毒就是通過修改.txt檔案的默認打開程式讓病毒在用戶打開文本檔案時載入的。 　二、利用工具：　查殺木馬的工具有LockDown、The Clean、木馬剋星、金山木馬專殺、木馬清除大師、木馬分析專家等，其中有些工具，如果想使用全部功能，需要付費，木馬分析專家是免費授權使用。

盜密保卡解綁過程登入的時候通過木馬盜取玩家的密碼，並且用盜取的密碼進入密碼保護卡解除綁定的網頁頁面，在通過木馬把玩家登入時候的三個密碼保護卡數換成密碼保護卡解綁需要的三個數，1次就能騙到密碼保護卡解除綁定需要的三個數了，再解除綁定，玩家的帳號就跟沒密碼保護卡一樣.電話密碼保護也一樣，玩家打了電話，然後登入的時候通過木馬讓玩家不能連線伺服器並盜取玩家的密碼，然後盜取賬號者就2分內可以上去了盜取玩家財產。 　更好的反擊盜取賬號者措施 　1.設定角色密碼（可結合密碼保護卡）， 　2.設定背包密碼，背包分二部分（G也分2部份，1大額，1小額），一部分需要密碼（可以放重要的財產），一部分不要密碼（放置常用物品），可結合密保卡。 　3，裝備欄設定密碼保護卡，上線後需要輸入密保卡解除裝備欄的密報卡數，才能使用技能 ，如果不解除綁定，不能使用技能並且無法交易。 　4，倉庫通過密碼打開後，與背包相同。 　5，設定退出密碼，輸入退出密碼正常才能下線，非正常下線5分內不能登入。 　6 設定下次登入地點，玩家下線時可以選者下次登入的IP段（以市為單位，不在IP段裡面的IP，不能登入 ） 　6 計算機綁定，對於有計算機的玩家可以綁定CPU編號，這點某些防毒軟體有這個技術，你們估計也有這技術。 　7，上述六點可結合密碼保護卡，並且可以設定多張密碼保護卡，登入界面一張密碼保護卡，角色界面一張密碼保護卡，背包一張密碼保護卡，倉庫一張密碼保護卡，退出登錄一張密碼保護卡。補充：密保卡可隨自己意願綁定，但是追號大於等於2，背包，倉庫等可以用同1張密保卡（最好不和登入用同1張），關於手機密保可改為，登入時不需打手機，登入後所有物品全部無法交易出售，無法發言，在登入後打手機才可解除，可防止手機密保在登入界面被木馬利用 　8，加強遊戲本身防木馬能力。可以和防毒軟體公司合作設定一款專門用於魔獸的防毒軟體 　9，加入網咖IP段保護 　10，這需要網遊公司對現有密碼系統升級 　在計算機領域中，它是一種基於遠程控制的黑客工具，具有隱蔽性和非授權性的特點。 　所謂隱蔽性是指木馬的設計者為了防止木馬被發現，會採用多種手段隱藏木馬，這樣服務端即使發現感染了木馬，由於不能確定其具體位置，往往只能望“馬”興嘆。 　所謂非授權性是指一旦控制端與服務端連線後，控制端將享有服務端的大部分操作許可權，包括修改檔案，修改註冊表，控制滑鼠，鍵盤等等，而這些權力並不是服務端賦予的，而是通過木馬程式竊取的。 　從木馬的發展來看，基本上可以分為兩個階段。 　最初網路還處於以UNIX平台為主的時期，木馬就產生了，當時的木馬程式的功能相對簡單，往往是將一段程式嵌入到系統檔案中，用跳轉指令來執行一些木馬的功能，在這個時期木馬的設計者和使用者大都是些技術人員，必須具備相當的網路和編程知識。 　而後隨著WINDOWS平台的日益普及，一些基於圖形操作的木馬程式出現了，用戶界面的改善，使使用者不用懂太多的專業知識就可以熟練的操作木馬，相對的木馬入侵事件也頻繁出現，而且由於這個時期木馬的功能已日趨完善，因此對服務端的破壞也更大了。 　所以所木馬發展到今天，已經無所不用其極，一旦被木馬控制，你的電腦將毫無秘密可言。

以下是常見的木馬所默認開放的連線埠，如果你掃出你的機子開放了下面的連線埠(請參見fport)，那么你就要注意了呀： 　你可以試著找一下這匹馬，用它的客戶端來連一下看是否可以連線。然後再想辦法清除。 　然而要注意多數木馬的客戶端可以改動連線埠號，所以這個辦法成功率不算高。

BO jammerkillahV 121 　Hackers Paradise 456 　Stealth Spy 555 　Phase0 555 　Satanz Backdoor 666 Attack FTP 666 　Silencer 1001 　WebEx 1001 　Doly Trojan 1011 　Netspy 1033 　Psyber Stream Server 1170 　Streaming Audio Trojan 1170 　Ultors Trojan 1234 　SubSeven 1243, 6667 　GWGirls 6267 　VooDoo Doll 1245 　GabanBus 1245 　NetBus 1245 　Vodoo 1245 　FTP99CMP 1492 　Psyber Streaming Server 1509 　Shivka-Burka 1600 　Shiva Burka 1600 　SpySender 1807 　Shockrave 1981 　BackDoor 1999 　Trojan Cow 2001 　TrojanCow 2001 　Ripper 2023 　Pass Ripper 2023 　Bugs 2115 　Deep Throat 2140 　The Invasor 2140 　Striker 2565 　Wincrash2 2583 　Phineas Phucker 2801 　Phineas 2801 　Portal of Doom 3700 　WinCrash 4092 　ICQTrojan 4590 　IcqTrojen 4950 　IcqTrojan 4950 　Sockets de Troie 5000 　Sockets de Troie 1.x 5001 　Firehotcker 5321 　Blade Runner 5400 　BladeRunner 5400 　Blade Runner 1.x 5401 　Blade Runner 2.x 5402 　Robo-Hack 5569 　RoboHack 5569 　Wincrash 5742 　The tHing 6400 　DeepThroat 6670 　DeepThroat 6771 　Indoctrination 6939 　GateCrasher 6969 　Priority 6969 　Remote Grab 7000 　NetMonitor 7300 　NetMonitor 1.x 7301 　NetMonitor 2.x 7306 　NetMonitor 7306 　NetMonitor 3.x 7307 　NetMonitor 4.x 7308 　ICKiller 7789 　ICQKiller 7789 　Portal of Doom 9872 　PortalOfDoom 9872 　Portal of Doom 1.x 9873 　Portal of Doom 2.x 9874 　Portal of Doom 3.x 9875 　Portal of Doom 9875 　iNi-Killer 9989 　InIkiller 9989 　Portal of Doom 4.x 10067 　Portal of Doom 5.x 10167 　Senna Spy 11000 　Senna Spy Trojans 11000 　Progenic trojan 11223 　ProgenicTrojan 11223 　Gjamer 12076 　Hack?99 KeyLogger 12223 　NetBus 1.x 12346 　Whack-a-mole 12361 　Whack-a-mole 1.x 12362 　Priority 16969 　Priotrity 16969 　Millenium 20000 　Millennium 20001 　NetBus 2 Pro 20034 　NetBus Pro 20034 　GirlFriend 21544 　GirlFriend 21554 　Prosiak 22222 　Prosiak 0.47 22222 　Evil FTP 23456 　Ugly FTP 23456 　WhackJob 23456 　UglyFtp 23456 　Delta 26274 　Subseven 27374 　NetSphere 30100 　Masters Paradise 30129 　Socket23 30303 　Kuang 30999 　Back Orifice 31337 　Back Orifice 31338 　DeepBO 31338 　NetSpy DK 31339 　BOWhack 31666 　Prosiak 33333 　BigGluck 34324 　Tiny Telnet Server 34324 　The Spy 40412 　TheSpy 40412 　Masters Paradise 40421 　Masters Paradise 1.x 40422 　Masters Paradise 2.x 40423 　Master Paradise 40423 　Masters Paradise 3.x 40426 　Sockets de Troie 50505 　Fore 50766 　Fore, Schwindler 50766 　Remote Windows Shutdown 53001 　RemoteWindowsShutdown 53001 　Telecommando 61466 　Devil 65000 　Devil 1.03 65000

（國人的驕傲，中國第一款木馬），灰鴿子，上興,PCshare，網路神偷，FLUX流光，廣外女生木馬　木馬程式； 　"木馬”程式是目前比較流行的病毒檔案，與一般的病毒不同，它不會自我繁殖，也並不“刻意”地去感染其他檔案，它通過將自身偽裝吸引用戶下載執行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的檔案，甚至遠程操控被種者的電腦。“木馬”與計算機網路中常常要用到的遠程控制軟體有些相似，但由於遠程控制軟體是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達到的是“偷竊”性的遠程控制，如果沒有很強的隱蔽性的話，那就是“毫無價值”的。 　一個完整的“木馬”程式包含了兩部分：“伺服器”和“控制器”。植入被種者電腦的是“伺服器”部分，而所謂的“黑客”正是利用“控制器”進入運行了“伺服器”的電腦。運行了木馬程式的“伺服器”以後，被種者的電腦就會有一個或幾個連線埠被打開，使黑客可以利用這些打開的連線埠進入電腦系統，安全和個人隱私也就全無保障了

通常木馬病毒是通過註冊表來啟動服務的，所以註冊表對於系統防禦病毒有著比較重要的意義。按照理論上來說，我們可以通過修改註冊表的屬性來預防病毒和木馬，實際上亦可行，具體的實施方法如下： 　Windows2000/XP/2003的註冊表是可以設定許可權的，只是我們比較少用到。設定以下註冊表鍵的許可權： 　1、設定註冊表自啟動項為everyone唯讀(Run、RunOnce、RunService)，防止木馬、病毒通過自啟動項目啟動 　2、設定.txt、.com、.exe、.inf、.ini、.bat等等檔案關聯為everyone唯讀，防止木馬、病毒通過檔案關聯啟動 　3、設定註冊表HKLM\SYSTEM\CurrentControlSet\Services為everyone唯讀，防止木馬、病毒以"服務"方式啟動 　註冊表鍵的許可權設定可以通過以下方式實現： 　1、如果在域環境裡，可能通過活動目錄的組策略實現的 　2、本地計算機的組策略來(命令行用gpedit.msc) 　3、手工操作可以通過regedt32(Windows2000系統，在選單“安全”下的“許可權”)或regedit(Windows2003/XP，在“編輯”選單下的“許可權”) 　如果只有users組許可權，以上鍵值默認是唯讀的，就可以不用這么麻煩了。