特洛伊木马病毒的危害是什么?

特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的，因此，它对用户的危害甚大，那么，特洛伊木马病毒的危害是什么呢?

小编了解到，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。还可能盗取你的个人信息如珍贵资料和各类密码。

1、包含干正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性

由于木马所从事的是 "地下工作"，因此它必须隐藏起来，它会想尽一切办法不让你发现它。很多人对木马和远程控制软件有点分不清，还是让我们举个例子来说吧。我们进行局域网间通讯的常用软件PCanywhere大家一定不陌生吧?我们都知道它是一款远程控制软件。PCanywhere比在服务器端运行时，客户端与服务器端连接成功后，客户端机上会出现很醒目的提示标志;而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己，不可能出现任何明显的标志。木马开发者早就想到了可能暴露木马踪迹的问题，把它们隐藏起来了。

2、具有自动运行性。

木马为了控制服务端。它必须在系统启动时即跟随启动，所以它必须潜人在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3、包含具有未公开并且可能产生危险后果的功能的程序。

4、具备自动恢复功能。

现在很多的木马程序中的功能模块巴不再由单一的文件组成，而是具有多重备份，可以相互恢复。当你删除了其中的一个，以为万事大吉又运行了其他程序的时候，谁知它又悄然出现。像幽灵一样，防不胜防。

5、能自动打开特别的端口。

木马程序潜人你的电脑之中的目的主要不是为了破坏你的系统，而是为了获取你的系统中有用的信息，当你上网时能与远端客户进行通讯，这样木马程序就会用服务器尸客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施进一步的人侵企图。你知道你的电脑有多少个端口?不知道吧?告诉你别吓着:根据TCP/IP协议，每台电脑可以有256乘以256个端口，也即从0到65535号 "门"，但我们常用的只有少数几个，木马经常利用我们不大用的这些端口进行连接，大开方便之 "门"。

特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施和安全防御，只有这样才能有效减少特洛伊木马带来的危害。

特洛伊木马病毒有哪些启动方式?

特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。那么，特洛伊木马病毒有哪些启动方式呢?

1、在Win.ini中自启动

在Win.ini的[windows]字段中有启动命令"load="和"run="，在一般情况下 "="后面是空白的，这里是开机自启动的地方，如果有后跟程序，比方说是这个样子：

[windows]

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了，这个file.exe很可能是木马哦。

2、在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样：shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!

另外，在System.中的[386Enh]字段，要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，你现在该知道也要注意这里了，平时应该是不会注意的。

3、利用注册表加载运行

注册表并不是容易找到而且容易损坏，建议大家用杀毒软件为妙。

4、在Autoexec.bat和Config.sys中加载运行

请大家注意，在C盘根目录(即打开C盘就可以看到的)下的这两个文件也可以启动木马，这2个文件是隐藏的，一般情况下看不到。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexec.bat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。

5、在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

6、启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell

Folders Startup="c:\windows\start menu\programs\startup"。但是大家放心大部分的杀毒软件对这一块极为敏感因为修改极为容易，所以不需要这么紧张。

7、*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式：在winint.ini.中(用于安装较多)。

8、修改文件关联

修改文件关联是木马们常用手段 (主要是国产木马，国外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值，将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP等都是木马的目标，要小心喽。

对付这类木马，可以Win+R组合键，输入cmd，在新打开的黑窗口里面输入assoc >D:\1.log 在打开D:\1.log就可以查看当前文件关联了!

9、捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马

10、反弹端口型木马的主动连接方式

反弹端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端(被控制端)主动与客户端(控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时，最新的天网防火墙(如我们在第三点中所讲的那样)，因此只要留意也可在网络神偷服务端进行主动连接时发现它。