木马病毒是什么?病毒种类与清除方法
木马病毒是什么?
木马病毒(Trojan Horses 或 Trojans)也叫作特洛伊木马病毒或木马程序,是一种恶意软件,伪装成或夹带于正当软件,企图盗取目标电脑上的资料,再用以进行勒索或转卖至暗网,或是从远端控制目标电脑,删除、封锁、篡改、外泄、复制资料等,无疑可以造成相当严重的资安危机。
虽然我们常以病毒称呼木马程序,但严格来说,木马程序不能自我复制或是自行运作,并不算是电脑病毒。由于无法自己传播出去,木马程序需要用户自行下载,并点击含有恶意程序码的执行档(副档名为 .exe)后,才能开始进行攻击,取得目标电脑的存取权限。
碍于木马程序无法自行复制和运作,骇客会将木马程序假扮成正常、合法或无害的软件,诱骗受害者自行下载执行。这样的手法也让木马程序得名自荷马史诗《伊里亚德》中的典故。希腊联军围城特洛伊,久攻不下想出奇招:希腊军佯装放弃攻打特洛伊城,并留下一只巨型木马作为给特洛伊城的礼物。特洛伊军不疑有他把木马带回城中,却没想到里面藏有希腊军队,半夜偷开城门放希腊联军进城。
而在现代网络世界里,骇客多可利用社交工程或是安全漏洞等多种方式,将木马程序送到目标受害者的电脑上,例如:
- 钓鱼电子邮件中的恶意链接或夹带文件
- 伪装成正常网站的钓鱼网站
- 以免费、破解版、盗版软件等为诱饵的网站,诱使用户下载不明程序
- 恐吓软件的弹跳窗口,警告用户电脑受到病毒入侵等,需点击弹出窗口的链接才能清除病毒
- 建立 Wi-Fi 热点,不知情的用户连上,趁机将用户导向带有木马程序的网站
- 利用软件中的安全漏洞植入木马程序
【想更进一步了解社交工程是什么,请参考《社交工程》文章。】
木马病毒的常见种类与特性
木马程序实际上只是一种统称,泛指通过伪装成正当及安全的软件,远端取得目标电脑权限的恶意软件,而根据不同的攻击目标和攻击手法,又可以将常见的木马程序细分成多种不同的恶意程序:
一、按照攻击目标分类
-
银行木马/金融木马(Banking Trojans/Banker Trojans):银行/金融木马多以窃取银行账户、支付系统、财务系统的登录资料或其他金融相关的机密资料为主。通过入侵账户的方式操作受害者账户,获得不当金钱利益,或盗用身份进行其他诈骗犯罪等。Zeus、SpyEye,以及 Emotet 都是著名的银行木马程序。
-
游戏窃贼木马(Game-Theif Trojans):游戏窃贼木马针对线上游戏的账号密码进行攻击,窃取游戏账户资料卖出或是利用游戏点数系统等方式获利。
-
即时通讯木马(Instant Messagener Trojans):以即时通讯软件或是社交软件为目标,例如 Skype、WhatsApp、Facebook Messagener 等等。窃取登录账号密码盗用账户,以进行其他网络攻击或是诈骗。
-
SMS 木马(SMS Trojans):SMS 木马则是针对手机短信攻击,被骇客利用来操控手机自动发送短信、拦截短信等等。
-
电子邮件木马(Mailfinder Trojans):电子邮件木马的目的为窃取受害电脑、平板或是手机系统中的通讯录资料。
二、依照攻击手法分类
-
窃取资料木马(Infostealer Trojans):顾名思义以窃取信息为目的的木马程序。 后门木马(Backdoor Trojans):后门为一种攻击手法统称,后门木马泛指所有可在目标电脑或装置上,帮骇客打开后门,使其可以远端操控或是存取的木马程序。
-
远程存取木马(Remot Access Trojans,RAT Trojans):远程存取木马程序属于后门木马的一种,让骇客有权限操纵目标电脑。
-
DDoS 木马(DDoS Attack Trojans):DDoS 木马被骇客利用来进行 DDoS 攻击。
-
假防毒软件木马(Fake Antivirus Trojans):假防毒软件木马伪装成正常防毒软件,警告用户电脑或装置中毒,要求用户依其指示移除病毒。骇客通常会趁机敲诈用户。
-
间谍木马(Spyware Trojans):间谍木马顾名思义被设计来潜伏于用户的电脑或装置,并监控上面的活动,例如键盘活动、屏幕截图、应用程序、登录资料等等。
-
勒索木马(Ransom Trojans):勒索木马可以说是勒索病毒/软件的一种,加密目标电脑和装置上的资料,向用户要求赎金。
-
下载木马(Downloader Trojans):下载木马程序针对已有感染电脑病毒或是恶意程序的电脑和装置进行攻击。一旦下载木马植入,就会开始下载和安装更多其他恶意程序于其上。
-
Rootkit 木马(Rootkit Trojans):Rootkit 木马程序可以防止自己被防毒软件检测到,延长在目标电脑上运行的时间。
手机也会感染木马病毒吗?
很不幸,答案是会的,木马程序也可以感染平板或手机等移动装置。过去木马程序攻击大多被认为只跟电脑有关,但随着科技发展,针对手机以及平板的木马程序也不断出现。只要装置能连上互联网,就有可能成为木马程序的受害目标。
针对移动装置的木马程序和传统木马一样,伪装成无害的应用程序或其他常被下载的文件等受害者下载安装。虽然盗版应用程序下载平台可以说是行动木马程序的温床,但是官方正式的应用程序商店也可能暗藏木马程序。例如 Xenomorph Trojan 即为一种手机银行木马程序,伪装成上架于 Google Play Store 的一般应用程序,针对 Android 系统的手机用户。另一方面,iOS 系统的手机采用封闭系统,遭遇恶意软件攻击的几率较低,但近年来也有发现针对 iOS 系统的木马程序,例如 GoldPickaxe.iOS,专门窃取 iOS 手机上的身份识别资料、脸部识别资料和 SMS 信息内容。
因此无论是使用电脑或是手机、平板,都需多加留心,避免误下载木马程序。
感染木马病毒的症状,如何影响电脑与手机?
如果手机、平板或是电脑出现以下症状,可能是中了木马程序,建议尽速扫描电脑和装置,厘清系统资安情况。
-
系统速度明显下降
-
软件、应用程序或系统当机变得频繁
-
出现未经用户下载的软件和应用程序
-
弹出窗口或是垃圾信息和电子邮件变多
-
使用浏览器时,经常被导向至别的网站
-
无法开启软件或应用程序
中木马病毒怎么办?木马程序清除的方法
若真的发现电脑或手机中有木马程序,可以参考以下步骤安全将病毒移除:
-
中断网络连接:有些木马程序让骇客可以远程操控受感染的电脑和装置,因此中断网络连接可以即时阻止伤害扩大,避免骇客继续下达指令。
-
启动安全模式:在电脑、手机或是平板开启用于除错的安全模式。安全模式中,电脑或装置会以最基本的状态运作(例如只有一组有限的文件和驱动程序运行),可以协助用户缩小问题来源,清除病毒。
-
检查应用程序:逐一检视电脑或装置中的软件和应用程序,锁定不认识的软件和程序,退出并将其删除。木马程序通常会躲藏在免费软件中,因此电脑和装置出现异常活动时,可以先考虑移除近期安装的免费软件和应用程序。
-
使用防毒软件:再次扫描电脑和装置,确认木马程序已被删除。
如果依照以上步骤,电脑和手机还是有中木马程序的迹象,建议先维持断网状态,并寻求资安专家协助处理移除木马程序。
【想更进一步了解网络攻击,请参考《什么是网络攻击》。】
5 种方法防范木马病毒的攻击
木马程序善于伪装、目标范围广泛,又能应用在多种不同的网络攻击中,造成惨重影响。虽然可怕,但是也非无法预防,只要平时注意资安防范,就可以大大降低系统受到木马程序入侵的风险。以下整理了木马程序的防范最佳做法:
-
即时更新软件:更新软件可以减少软件本身的安全漏洞被骇客利用,即时下载修补文件,避免漏洞成为木马程序被植入的破口。
-
提升资安意识:对于可疑的网站保持警觉心,不点击可疑链接或是随意下载免费、盗版和破解软件。除此之外,也要注意收到的电子邮件,留意钓鱼信件,仔细检查电子邮件的寄件者与内文内容。在无法确定邮件真实性时,避免下载任何夹带文件或点击邮件中的网址。另外,使用外接装置(如 USB 随身碟或外接硬盘),先扫描过再启动,避免在连上电脑后直接启动。
-
使用官方应用程序商店:要下载手机或平板应用程序,以官方应用程序商店为主要管道。虽然也有木马程序假装成正常应用程序藏匿于官方平台,但有官方平台把关,降低较大的风险。
-
使用正版防毒软件:防毒软件无论是预防木马程序被植入,还是后续扫描和清除病毒都可以协助降低损害程度。一旦检测到木马程序或用户浏览恶意网站,防毒软件也可以马上封锁,避免进一步中毒。 使用防火墙:为电脑设置防火墙,过滤恶意程序、封锁可疑 IP。
晟崴科技提供电脑系统资安服务,如资安弱点通报机制(VANS)、弱点扫描、和资安健诊服务,协助您找出自身系统漏洞,加强防护,降低骇客利用漏洞植入木马程序的机会。而 Web 应用程序及 API 保护(WAAP)和 MDR 威胁检测应变服务可协助您设置 Web 防火墙及 API 防护,监控系统检测异常活动,第一时间阻绝木马程序入侵。欢迎与我们联系,了解详情。
立即联系晟崴科技,为您提供专业的建议与服务
