木马程序有哪些_著名木马程序

人们常用“特洛伊木马”来比喻什么

人们常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。也指为“为进行非法目的的计算机病毒”，在电脑中潜伏，以达到黑客目的。

特洛伊木马原指一希腊传说。在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，特洛伊沦陷。

扩展资料：

特洛伊木马程序不能自动操作， 一个特洛伊木马程序是包含或者安装一个存心不良的程序的，对一个不怀疑的用户来说，它可能看起来是有用或者有趣的计划（或者至少无害），但是实际上当它被运行时是有害的。

特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和丢失。 特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。

特洛伊木马有两种，universale的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的操作。

木马程序不能算是一种病毒，但可以和最新病毒、漏洞利用工具一起使用，几乎可以躲过各大杀毒软件，尽管越来越多的新版的杀毒软件可以查杀一些防杀木马了，但是不要认为使用有名的杀毒软件电脑就绝对安全，木马永远是防不胜防的，除非你不上网。

参考资料来源：百度百科-特洛伊木马  

著名的特洛伊木马是谁整理的

您好，

特洛伊木马名称来源于希腊神话《木马屠城记》，如今黑客程序借用其名，有“一经潜入，后患无穷”之意。特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，诱使用户将其安装在PC或者服务器上。

因此现在使用木马来代表可以窃取用户个人信息的病毒

是这类病毒的统称，英文叫做Trojan

没有单纯的是谁整理的哦，黑客一直不停地制造木马病毒

为了保护您的电脑安全，建议您使用腾讯电脑管家来保护您的电脑免遭木马病毒的侵害

希望可以帮到您，望采纳

腾讯电脑管家企业平台：

“特洛伊木马”有什么历史典故啊？

特洛伊木马是木马屠城记里记载著的那只希腊军队用来攻破特洛伊城的大木马。而木马屠城记则是古希腊诗人 - 荷马，在其两部著作伊利亚特与奥德赛里所记载的特洛伊战争的一部份。木马屠城记一直被后人视为神话故事，直至十九世纪时，苏利曼 - 一位业余考古学者才证实木马屠城记真有此事。

战争起因

据荷马与希腊神话所载，这个故事的起因是源自一个金苹果。

这个故事的开端，就是忒提斯（Thetis）与珀琉斯（Peleus）的婚礼，原本宙斯与忒提斯相恋，但那时传说忒提斯的儿子（也就是未来的阿基里斯(Achilles)）会比他的父亲还强大，宙斯害怕当年推翻他父亲的事重演，于是将她嫁给了著名英雄珀琉斯，避免影响他的政权。婚礼上邀请了很多神，唯独争吵女神没有被邀请。她很生气，便抛出一个金苹果，上面写“给最美丽者”。雅典娜，阿佛洛狄德和赫拉都宣称自己应该获得这个苹果。最后她们请求特洛伊王子帕里斯裁决。三个女神都贿赂帕里斯：雅典娜以天下第一聪明人作贿赂；赫拉以王位作贿赂；阿佛洛狄德以天下第一的美人作贿赂。最后帕里斯选择了阿佛洛狄德。作为回报，斯巴达王后，世界上最漂亮的女人海伦和他堕入爱河。在一次访问斯巴达的过程中，帕里斯绑架了海伦，把她带到特洛伊。帕里斯的行动惹怒了斯巴达国王，使其联合希腊各城邦向特洛伊宣战。

战争经过

斯巴达国王美内劳斯因为其太太海伦被帕里斯所带走，因此向希腊各城邦求助，共同出兵特洛伊。但特洛伊因为有亚马逊女战士和黎明女神儿子梅农的帮忙，与维纳斯暗中协助，所以能抵抗希腊联军。但因为雅典娜得不到金苹果，所以不愿放过特洛伊，而且指示奥德修斯向希腊联军献上木马屠城之计。 有一天，希腊联军突然撤退，并留下一只木马，特洛伊人将其当作战利品带回城内。在当天晚上，当特洛伊士兵为胜利而庆祝时，藏匿在木马中的希腊兵悄悄打开城门，将城外的军舰迎进，在一夜间消灭特洛伊城，城内男丁悉数被杀。

对其他地方的影响

据古罗马传说所载，就在特洛伊城城破之际，有一人在乱军中逃脱，并到达今天的意大利，成为罗马人的始祖。而在特洛伊战争后，东地中海成为希腊人的天下，并使为希腊人能够向小亚细亚殖民，这亦使东西方的文化有初步交流。

重新发掘

苏利曼因为自小对这神话感兴趣，并坚信荷马所著的这篇木马屠城记并不是凭空捏造，而是真实记载。因此他花了很多时间赚钱，在储足发掘所需的金钱后，开始著手研究特洛伊城所在地，最后终于在土耳其爱琴海畔挖出特洛伊古城，并在第六层考古地层证实与史实吻合。

sabsik是什么木马

sabsik是第六代木马。

木马病毒是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，木马病毒一般通过电子邮件附件发出，捆绑在其他的程序中。“木马”程序与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。 木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

谁能告诉我几款著名的木马病毒

“灰鸽子”木马病毒

灰鸽子变种木马运行后，会自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒文件注册为服务项实现开机自启。木马程序还会注入所有的进程中，隐藏自我，防止被杀毒软件查杀。自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其它特定程序。

“特洛伊”木马病毒

特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。

大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。

“QQ”木马病毒

qq的间谍软件，用来盗取qq号。

通常是通过某种方式隐藏在你的电脑主机里，

在你输入qq密码时，记录并发信息给下木马的人

Trojan Horse病毒的危害是什么?怎么感染上的呢?

分类: 电脑/网络 反病毒

解析:

检测和删除系统中的木马（Trojan Horse）教程

作者：陈昀/太平洋网络学院

一、木马（Trojan Horse）介绍

木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan）。此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。

在计算机安全学中，特洛伊木马是指一种计算机程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上，木马也可以称为是计算机病毒。

由于很多用户对计算机安全问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒（哪怕宣传上称有查杀未知病毒的功能）。而且实际的使用效果也并不理想。比如用某些杀毒软件卸载木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程序。本人就测试过一些经编程人员改装过的著名木马程序，新的查杀毒软件是连检查都检测不到，更不用说要删除它了（哪怕是使用的是最新的病毒库）。因此最关键的还是要知道特洛伊木马的工作原理，由其原理着手自己来检测木马和删除木马。用手工的方法极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。

二、木马工作的原理

在Windows系统中，木马一般作为一个网络服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。

既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。

好了，现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行，那么它就要乘计算机刚开机的时候得到运行，进而常驻内存中。想一想，Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢？你可能会想到“开始-程序-启动”中的项目！没错，这是Windows启动时要运行的东西，但要是木马服务器程序明显地放在这就不叫木马了。

木马基本上采用了Windows系统启动时自动加载应用程序的方法，包括有win.ini、system.ini和注册表等。

在win.ini文件中，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动加载运行的程序项目，木马可能会在这现出原形。必须要仔细观察它们，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目，那么你的计算机就可能中上木马了。当然你也得看清楚，因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan，它把自身伪装成mand.exe文件，如果不注意可能不会发现它，而误认它为正常的系统启动文件项。

在system.ini文件中，[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是explorer.exe，而是“shell=

Explorer.exe 程序名”，那么后面跟着的那个程序就是木马程序，明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件，这样的话，这里看起来还是正常的，无法瞧出破绽。

隐蔽性强的木马都在注册表中作文章，因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。

HKEY-LOCAL-MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run

HKEY-LOCAL-MACHINE\Sofare\Microsoft\Windows\CurrentVersion\RunOnce

HKEY-LOCAL-MACHINE\Sofare\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY-LOCAL-MACHINE\Sofare\Microsoft\Windows\CurrentVersion\RunServices

HKEY-LOCAL-MACHINE\Sofare\Microsoft\Windows\CurrentVersion\RunServicesOnce

上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINE\Sofare\SAM下的东西，通过regedit等注册表编辑工具查看SAM主键，里面下应该是空的。

木马驻留计算机以后，还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与木马服务器端进行通信就必须得建立一连接（一般为TCP连接），通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测，在第三部分有详细介绍。

三、检测木马的存在

知道木马启动运行、工作的原理，我们就可以着手来看看自己的计算机有没有木马存在了。

首先，查看system.ini、win.ini、启动组中的启动项目。由“开始-运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。

1、查看system.ini文件

选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”，如果不是这样，就可能中了木马了。下图所示为正常时的情况：

2、查看win.ini文件

选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空，如下图所示：

3、查看启动组

再看看启动标签中的启动项目，有没有什么非正常项目？要是有象bus、spy、bo等关键词，极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都屏蔽掉了。如下图，只是选中了与注册表检查、音量控制、输入法和能源保护相关的启动栏。到时要是有木马出现，自是一目了然。

4、查看注册表

由“开始-运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：“HKEY-LOCAL-MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件项目，比如bus、spy、server等的单词。注意，有的木马程序生成的服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid Battery木马，它会在注册表项“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下加入

Explorer=“C:\WINDOWS\expiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母的差别！

通过类似的方法对下列各个主键下面的键值进行检查：

HKEY-LOCAL-MACHINE\Sofare\Microsoft\Windows\CurrentVersion\RunOnce

HKEY-LOCAL-MACHINE\Sofare\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY-LOCAL-MACHINE\Sofare\Microsoft\Windows\CurrentVersion\RunServices

HKEY-LOCAL-MACHINE\Sofare\Microsoft\Windows\CurrentVersion\RunServicesOnce

如果操作系统是Windows NT，还得注意HKEY-LOCAL-MACHINE\Sofare\SAM下面的内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。

当然在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身之处。除此之外，象HKEY-CURRENT-USER\Sofare\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Sofare\Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL-MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。

如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。

4、其它方法

上网过程中，在进行一些计算机正常使用操作时，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。

如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话，最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法：

由“开始-运行”，输入mand，确定，开一个MS-DOS窗口。或者由“开始-程序-MS-DOS”来打开它。在MS-DOS窗口的命令行键入“stat”查看目前已与本计算机建立的连接。如下图所示：

显示出来的结果表示为四列，其意思分别为Proto：协议，Local Address：本地地址，Foreign Address：远程地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000），而Foreign Address中的地址又不为正常网络浏览的地址，那么可以判断你的机器正被Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非法连接你计算机的木马客户端。

当网络处于非活动状态，也就是目前没什么活动网络连接时，在MS-DOS窗口中用stat命令将看不到什么东西。此时可以使用“stat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有NETBEUI协议）：

如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何网络服务操作，那么在监听该端口的就是特洛伊木马了！如下图所示的23456和23457端口都处于监听状态，很明显是木马造成的。

注意，使用此方法查询处于监听状态的端口，一定要保证在短时间内（最好5分钟以上）没有运行任何网络冲浪软件，也没有进行过任何网络操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。

四、删除木马

好了，用上面的一些方法发现自己的计算机中了木马，那怎么办？当然要将木马删除了，难道还要保留它！首先要将网络断开，以排除来自网络的影响，再选择相应的方法来删除它。

1、由木马的客户端程序

由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“bus”、“spy”等，很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计算机地址：127.0.0.1和端口号，就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“stat -a”命令查出来。

这是最容易，相对来说也比较彻底载除木马的方法。不过也存在一些弊端，如果木马文件名给另外改了名字，就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码，既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码，那就另当别论了。还有，要是该木马的客户端程序没有提供卸载木马的功能，那么该方法就没什么用了。当然，现在多数木马客户端程序都是有这个功能的。

2、手工

不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......，那我们就手工慢慢来删除这该死的木马吧。

用msconfig打开系统配置实用程序，对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=xxx”，更改为：“shell=Explorer.exe”。

用regedit打开注册表编辑器，对注册表进行编辑。先由上面的方法找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。由查找到的木马程序注册项，分析木马文件在硬盘中的位置（多在C:\WINDOWS和C:\WINDOWS\COMMAND目录下）。启动到纯MS-DOS状态（而不是在Windows环境中开个MS-DOS窗口），用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件，还得通过“attrib -s -h -r”将对应文件的属性改变，才可以删除。

为保险起见，重新启动以后再由上面各种检测木马的方法对系统进行检查，以确保木马的确被删除了。

目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定（也就是感染了系统文件）。比如常用到的Explorer.exe，只要Explorer.exe一得到运行，木马也就启动了。这种木马可以感染可执行文件，那就更象病毒了。由手工删除文件的方法处理木马后，一运行Explorer.exe，木马又得以复生！这时要删除木马就得连Explorer.exe文件也给删除掉，再从别人相同操作系统版本的计算机中将该文件Copy过来就可以了。

五、结束语

Inter上每天都有新的木马冒出来，所采取的隐蔽措施也是五花八门。在信息社会里，计算机用户对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高计算机安全性的一个方面。技术的发展，本文所讲述的检测、删除木马方法也总有一天会失效，最主要还是要靠用户提高警惕，防范所有的不安全事件于未然。