不變應萬變 常見木馬防範寶典

　奇虎360安全中心最近發布的《互聯網不安全報告》中披露，2007年上半年奇虎共截獲病毒、惡意軟體及木馬程序共計168135個，其中木馬程序佔據了80%的比例。比如著名的「灰鴿子」木馬，僅不完全統計就有大概6萬個變種。 可見在現今階段的互聯網，木馬的危害已經佔據了主導。
　　談「馬」色變並不是空穴來風，你可能覺得自己已經安裝了最新版本的殺毒軟體和防火牆，自認銅牆鐵壁、百毒不侵。可要命的變種木馬程序讓病毒庫防不勝防。畢竟是先有病毒，再有病毒庫更新。目前各大殺毒公司紛紛進入主動殺毒/防禦領域，正是因為大家已經意識到面對最新木馬病毒的查殺，時間是最關鍵的因素！
　　那現階段呢？我們這些飽受侵害的用戶該做些什麼呢？其實木馬發展到現在，最重要的因素就是其很好的利用了社會工程學原理，在偽裝和侵入方式上下足了功夫。這對於木馬的整個入侵程序來說最為重要——換句話說：你需要運行木馬，才能讓自己的計算機中招！今天就針對這一環節，分析當前木馬慣用伎倆，不用殺毒軟體也能分辨出木馬程序。
　　木馬攻擊原理

　　木馬變種再多，功能再強大，整個木馬病毒的體系也只分為兩大部分：客戶端和服務端。一般情況下黑客會使用客戶端編譯出一個負責其自己要求的伺服器端，倘若有人運行了這個伺服器端程序，則他的電腦就真的成為了黑客的伺服器，任其宰割了。當然，殺毒軟體和電腦使用者不會這麼「笨」，它們可以通過病毒的關鍵碼和形態上分出該程序的性質，所以黑客就需要對木馬進行包裝和加強——也就是偽裝和變種。
　　特別提示：現在大部分的木馬都已經採用了反彈式連接，普通防火牆很難再防禦住這些木馬，這主要是由於防火牆針對外部連接比較敏感，而對於內部向外連接的審查力度卻小很多造成的。
　　原程序偽裝
　　這種屬於木馬偽裝中最基本的方式。以灰鴿子為例，在服務端配置的安裝選項里可以更改程序的圖標和釋放路徑，在啟動設置中能夠自定義註冊表和服務的名稱，甚至可以關聯到iexplore.exe，讓木馬程序隨時整裝待命。