什么叫做“特洛依木马”？它来自于希腊神话，这里指的是一种黑客程序，它一般有两个程序，一个是服务器程序，一个是控制器程序。如果你的电脑安装了服务器程序，那么，黑客就可以使用控制器进入你的电脑，通过命令服务器程序达到控制你的电脑的目的。  
 个人上网电脑威胁最大的就是病毒和特洛依木马，不要以为你的电脑没有什么秘密的资料，你就不怕木马了，首先，中了木马的电脑什么安全性也没有了，拨号上网的密码，信箱密码，主页密码，甚至网络信用卡密码也会被偷走，其次，黑客要是有病毒库，就可以通过木马传染到你的电脑上来，你平时再谨慎也没有用了。你的鼠标被人家控制，键盘被锁上了，屏幕被人家看见了，电脑还算是你的吗？  

 所以，你应当留神自己的电脑有没有木马， 我在网络上看过很多关于安全的文章，涉及木马的比较少，另外有些文章对木马有错误的认识，比如《网络报大众版》（总第65期1999年12月20日）的“安全/攻击”栏目中文章《注册表的妙用》有句话：“不管是什么样的后门工具，也许在它运行后就会消失，但有它逃不过的地方，那就是你的WIN.INI、启动组和注册表！”，如果经常玩木马的人，就该知道，非自动方式启动的木马可以被捆绑到任何程序中，比如将木马捆绑到OICQ程序上，在注册表等启动组中均找不到痕迹，而你一旦启动OICQ，就会启动木马。在我们的电脑中，可执行程序（EXE、COM程序）有上千个是不希奇的，都可以成为捆绑的对象。  

 因为木马对个人电脑是个重大的威胁，所以也促使我写一篇比较详细的文章，奇奇在这里列出了网络上大部分木马，我将告诉你如何删除这些木马。  
  

  

一、特洛伊木马的基本知识  

 我写这些东西是为了治病救人的，不是让别有用心的人去害人的。所以这里只对木马做描述，不提供下载木马软件。  

 “知己知彼，百战百胜”，如果想要学好防御，必须要知道特洛伊木马是如何攻击的。如果你想攻击别人的话，你只需要知道其中的一个木马攻击办法就可以了，如果是防御攻击的话，你不得不知道得更多。所以，奇奇会讲得比较仔细，希望大家不要误会我在教人如何做坏事。  

 如果你对木马真的感兴趣的话，当然会有地方学习的，请到我的主页上去看看（http://cn77.my169.com），我会指点你去一个地方下载的。 特洛伊有两个部分，一个是服务器，一个是控制器。如果你的电脑上安装了服务器，那么黑客就可以使用控制器进入你的电脑。  

 新安装的电脑是没有木马存在的，一般黑客要想你安装上木马的办法是写信给你，告诉你有一个很好的软件，你运行以后没有什么反应，这时候，木马已经安装到你的电脑中了。  

 一般的程序需要我们点击该程序才会启动，那么木马是怎样启动的呢？  
 木马为了能在每次电脑开机的时候进入内存发挥作用，主要手法是加载到注册表的启动组中，也有些会捆绑到其他程序中附带进入内存，这些被捆绑程序有电脑启动的时候WINDOWS自动运行的，也有用户自己需要而运行的。  

 木马是怎样和黑客联系的呢？怎样把你的资料送给黑客的呢？  
 大部分情况下是黑客和你的电脑中的木马联系，当木马在你的电脑中存在的时候，黑客就可以通过控制器命令木马做事情了。这些命令是在网络上传递的，需要遵守TCP/IP协议。TCP/IP协议规定电脑的端口有256*256=65536个，从0到65535号端口，木马打开一个或者几个端口，黑客所使用的控制器就是进入木马的端口进入你的电脑的。  

 这些端口好象“后门”一样，所以，也有人把特洛伊木马叫做后门工具。  

 每个木马所打开的端口不同，根据端口号，可以识别不同的木马，比如NETSPY木马的端口是7306，SUB7的端口是1243，但是，有些木马的端口号是可以改变的，比如SUB7，黑客通过控制器可以将端口号改变成12345等号码。  

 现在我们该知道三点了：一，木马需要一种启动方式，一般在注册表启动组中，二，木马需要在内存中才能发挥作用，三，木马会打开特别的端口，以便黑客通过这个端口和木马联系。我们基于这三点可以删除木马，防御黑客的攻击。  

 下面就我们来看看网络上流行的木马。  
  二、部分特洛伊木马的特征  
（更新日期：2000年2月21日）  
  木马名称 端口 启动方式 木马位置 
BirdSPY2 可变47878  
不清楚50829 注册表加载  
用户误操作 C:\WINDOWS\SYSTEM\WinApp32.exe  
C:\WINDOWS\Winbime.scr  
C:\WINDOWS\Ndapi32c.dll  
C:\WINDOWS\SYSTEM\WinSock.exe  
C:\WINDOWS\Winbife.scr  
C:\WINDOWS\Ndapi32K.dll  
C:\WINDOWS\ .bat  
C:\WINDOWS\winstart.bat 
bo 1.20 可变31337 注册表加载 C:\WINDOWS\SYSTEM\ .exe 
Deep Throat 1.0 固定2140 3150 注册表加载 不能确定 
Deep Throat 3.0 可变2140 3150 6671 注册表加载 c:\windows\systray.exe 
ftp 固定21 无 不能确定 
FTP Serv-U 2.3b 固定1492 注册表加载 c:\windows\system\Windll16.exe 
GirlFriend 1.3 可变20000 注册表加载 C:\WINDOWS\Windll.exe 
Glacier 1.2 固定7626 注册表加载 C:\WINDOWS\SYSTEM\Kernel32.exe  
C:\WINDOWS\SYSTEM\Sysexplr.exe 
Glacier 2.0 可变7626 注册表加载 C:\WINDOWS\SYSTEM\Kernel32.exe  
C:\WINDOWS\SYSTEM\Sysexplr.exe 
Glacier 2.1 可变7626 注册表加载 C:\WINDOWS\SYSTEM\Kernel32.exe  
C:\WINDOWS\SYSTEM\Sysexplr.exe 
InCommand 1.0 可变9400 9401 9402 注册表加载 不能确定 
Kuang2v 固定17300 系统文件启动 c:\windows\trdq.exe 
Millenium 1.0 固定20000 20001 注册表 win.ini C:\windows\system\reg66.exe 
NetBus 1.53 固定12345  
 12346 无 不能确定 
NetBus 1.60 固定12345  
 12346 注册表加载 C:\WINDOWS\MRING.EXE 
NetBus 1.70 固定12345  
 12346 注册表加载 C:\WINDOWS\PATCH.EXE 
Netspy 1.0 固定7306 注册表加载 c:\windows\system\netspy.exe 
Netspy 2.0 可变7306 注册表加载 c:\windows\system\netspy.exe  
C:\WINDOWS\SYSTEM\NETSPY.dat 
Open Share 固定139 注册表加载 无文件形式木马 
phAse 1.0 固定555  
可变555 无  
注册表加载 不能确定  
C:\WINDOWS\System\msgsvr32.exe（可变） 
prosiak 0.47 固定22222 33333 注册表加载 C:\WINDOWS\SYSTEM\Windll32.exe 
ProcSpy 固定7307 无 不能确定 
Remote-Anything 4000 3996 注册表加载 C:\WINDOWS\SLAVE.EXE 
schoolbus 固定3210 4321 注册表加载 C:\WINDOWS\SYSTEM\Grcframe.exe 
schoolbus 1.60 固定54321 43210 捆绑文件 c:\windows\system\grcframe.exe（木马）  
c:\windows\system\runonce.exe（启动文件） 
schoolbus 2.0 可变54321 44767 捆绑文件 c:\windows\system\grcframe.exe（木马）  
c:\windows\system\runonce.exe（启动文件） 
SubSeven 1.0 固定6713 1243 注册表加载 C:\WINDOWS\SysTrayIcon.Exe 
SubSeven 1.1 可变1243 注册表加载 C:\WINDOWS\SysTrayIcon.Exe 
SubSeven 1.3 可变6711 6776 1243 win.ini加载 c:\windows\nodll.exe  
c:\windows\~win.bak  
c:\windows\window.exe 
SubSeven 1.4 可变1243 win.ini加载
SubSeven 1.5 可变6711 6776 1243 win.ini加载 c:\windows\nodll.exe  
c:\windows\winduh.dat  
c:\windows\window.exe 
SubSeven 1.6 可变6711 6776 1243 注册表加载 c:\windows\system\rundll16.com  
c:\windows\system\systray.exe 
SubSeven 1.7 可变6711 6776 1243 注册表加载 c:\windows\KERNEL16.DL 
SubSeven 1.8 可变6711 6776 1243 system.ini加载 c:\windows\kerne132.dl 
Subseven 1.9 可变6711 6776 1243 system.ini加载 c:\windows\mtmtask.dl 
SubSeven 1.9 ver2 可变6711 6776 1243 system.ini加载 c:\windows\mtmtask.dl 
Sub7 1.9 中文控制器 
SubSeven 2.0 可变1243 6776 system.ini加载 c:\windows\kerne1.exe 
SubSeven 2.1 可变27374 无 c:\windows\MSREXE.exe 
WinCrash 1.03 固定5742 注册表加载 c:\windows\system\server.exe 
X SPY 1.0 固定7308 无 不能确定 
YAI 07.29 1999 可变1024 不能确定 c:\windows\system\Odbc16m.exe