特洛伊木馬是具有某些功能或僅僅是有趣的程序。但它通常會做一些令人意想不到的事情,如盜取口令或文件。 特洛伊木馬是如何工作的 一般的木馬程序都包括客戶端和服務端兩個程序,其申客戶端是用於攻擊者遠程控制植入木馬的機器,服務器端程序即是木馬程序。攻擊者要通過木馬攻擊你的系統,他所做的第一步是要把木馬的服務器端程序植人到你的電腦裡面。 目前木馬入侵的主要途徑還是先通過一定的方法把木馬執行文件弄到被攻擊者的電腦系統裡,利用的途徑有郵件附件、下載軟件中等,然後通過一定的提示故意誤導被攻擊者打開執行文件,比如故意謊稱這個木馬執行文件,是你朋友送給你賀卡,可能你打開這個文件後,確實有賀卡的畫面出現,但這時可能木馬已經悄悄在你的後台運行了。一般的木馬執行文件非常小,大部分都是幾K到幾十K,如果把木馬捆綁到其他正常文件上,你很難發現,所以,有一些網站提供的軟件下載往往是捆綁了木馬文件的,,你執行這些下載的文件,也同時運行了木馬。 木馬也可以通過Script、ActiveX及Asp.CGI交互腳本的方式植入,由於微軟的浏覽器在執行Senipt腳本存在一些漏洞。攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對浏覽者電腦進行文件操作等控制。前不久獻出現一個利用微軟Scripts腳本漏洞對浏覽者硬盤進行格式化的HTML頁面。如果攻擊者有辦法把木馬執行文件下載到攻擊主機的一個可執行WWW目錄夾裡面,他可以通過編制CGI程序在攻擊主機上執行木馬目錄。此外,木馬還可以利用系統的一些漏洞進行植人,如微軟著名的US服務器溢出漏洞,通過一個IISHACK攻擊程序即可使IIS服務器崩潰,並且同時攻擊服務器,執行遠程木馬執行文件。 當服務端程序在被感染的機器上成功運行以後,攻擊者就可以使用客戶端與服務端建立連接,並進一步控制被感染的機器。在客戶端和服務端通信協議的選擇上,絕大多數木馬使用的是TCP/IP協議,但是也有一些木馬由於特殊的原因,使用UDP協議進行通訊。當服務端在被感染機器上運行以後,它一方面盡量把自己隱藏在計算機的某個角落裡面,以防被用戶發現;同時監聽某個特定的端口,等待客戶端與其取得連接;另外為了下次重啟計算機時仍然能正常工作。木馬程序一般會通過修改注冊表或者其他的方法讓自己成為自啟動程序。
