木马病毒是如何工作的

w318

现在木马越来越多，今天为大家讲一下木马病毒是如何工作的。一般的木马程式都包括客户端和服务端两个程式，其申客户端是用于攻击者远程控制植入木马的机器，服务器端程式即是木马程式。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程式植人到你的电脑里面。
　　现在木马入侵的主要途径还是先通过一定的方法把木马执行文档弄到被攻击者的电脑系统里，利用的途径有邮件附件、下载软件中等，然后通过一定的提示故意误导被攻击者打开执行文档，比如故意谎称这个木马执行文档，是你朋友送给您贺卡，可能你打开这个文档后，确实有贺卡的画面出现，但这时可能木马已悄悄在你的后台运行了。一般的木马执行文档很小，大部分都是几K到几十K，假如把木马捆绑到其他正常文档上，您很难发现，所以，有一些网站提供的软件下载往往是捆绑了木马文档的，你执行这些下载的文档，也同时运行了木马。
　　木马也能够通过Script、ActiveX及Asp.CGI交互脚本的方式植入，由于微软的浏览器在执行Senipt脚本存在一些漏洞。攻击者能够利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文档操作等控制。前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。假如攻击者有办法把木马执行文档下载到攻击主机的一个可执行WWW目录夹里面，他能够通过编制CGI程式在攻击主机上执行木马目录。此外，木马还能够利用系统的一些漏洞进行植人，如微软著名的US服务器溢出漏洞，通过一个IISHACK攻击程式即可使IIS服务器崩溃，并且同时攻击服务器，执行远程木马执行文档。
　　当服务端程式在被感染的机器上成功运行以后，攻击者就能够使用客户端和服务端建立连接，并进一步控制被感染的机器。在客户端和服务端通信协议的选择上，绝大多数木马使用的是TCP/IP协议，但是也有一些木马由于特别的原因，使用UDP协议进行通讯。当服务端在被感染机器上运行以后，他一方面尽量
　　把自己隐藏在电脑的某个角落里面，以防被用户发现;同时监听某个特定的端口，等待客户端和其取得连接;另外为了下次重启电脑时仍然能正常工作。木马程式一般会通过修改注册表或其他的方法让自己成为自启动程式。