东方联盟专家：特洛伊木马病毒的防范与分析

特洛伊 木马程序并不是一种病毒，因为它不具有病毒的可传染性、自我复制能力等特性，但是特洛伊 木马程序具有很大的破坏力和危害性。

一、特洛伊木马程序简介

特洛伊 木马程序是指任何提供了隐藏的与用户不希望的功能的程序。

二、特洛伊木马程序的位置和危险级别

特洛伊木马程序代表了—种很高级别的威胁危险，主要是有以下几个原因。

（1）特洛伊木马程序很难被发现。

（2）在许多情况下，特洛伊木马程序是在二进制代码中发现的，它们大多以无法阅读的形式存在。

（3）特洛伊木马程序可以作用于许多机器中。

三、特洛伊木马的类型

1．远程访问型特洛伊木马

2．密码发送型特洛伊木马

3．键盘记录型特洛伊木马

4．毁坏型特洛伊木马

5．FTP型特洛伊木马

四、特洛伊木马的检测

若要检测在文件或操作系统中特洛伊木马程序是否存在，首先用户必须对所用的操作系统有比较深入的认识，此外还应对加密知识和一些加密算法有一定的了解。

1．检测的基本方法文件完整性检查器，检查文件的大小变化

2．检测工具MD5

五、特洛伊木马的防范

1．特洛伊木马的基本工作原理特洛伊木马程序一般存在于注册表、 win.ini文件或system.ini文件中，因为系统启动的时候需要装载这3个文件。

下面从几个方面具体说明特洛伊木马程序是怎样自动加载的。在win.ini文件中的[WINDOWS]下面，“run=”和 “load=”是可能加载特洛伊木马程序的途径。在system.ini文件中， “shell=explorer.exe 程序名”，那么后面跟着的那个程序就是特洛伊木马程序。

2．清除特洛伊木马的一般方法如果发现有特洛伊木马存在，首要的一点是立即将计算机与网络断开，首先编辑win.ini文件，接下来编辑system.ini文件，对注册表进行编辑。

在对付特洛伊木马程序方面，综合起来，有以下几种办法和措施。

（1）提高防范意识。

（2）多读readme.txt文件。

（3）使用杀毒软件。

（4）立即挂断。

（5）观察目录。

（6）在删除特洛伊木马之前，最重要的一项工作是备份文件和注册表。

原文地址： http://vm888.com/showinfo-17-40151-0.html

来源：东方联盟，欢迎分享(公众号：vm888Com)