特洛伊木马分类

特洛伊木马通常是表示对隐私和完整性的侵犯活动，但这有些过于简单。未经授权的改动是对完整性的侵犯。涉及隐私的程序为了掩盖自己会破坏文件，其主要目的是得到某些权限，这样就具有恶意的企图，但是对恶意企图没有统一的定义，因此这里列出的分类并不是很严密。

对特洛伊木马采用形式上的分类反映了对计算更解的不同。多年以来，大型机和小型机的用户根据窃取密码、安全漏洞来分，而微机用户根据格式化硬盘和破坏系统来分。实际上它们之间有交叉。

1.破坏型特洛伊木马

主要目的是破坏系统的特洛伊木马在微机中相当常见。80年代代中期，在FidoNet上首次公布的Dirty Dozen列表中将特洛伊木马定义为具有破坏目的的程序。当然，经过80、90年代已经发生了很大变化，虽然以前的特洛伊木马没有什么研究价值，在一些DOS/病毒目录层次中Simtel镜像服务器上还可以找到它们。早期在DIRTYD*.ZIP中列出的特洛伊木马几乎都快消失了。

在发现的针对苹果操作系统的无自我复制能力的恶意代码中也有破坏性特洛伊木马。病毒报告旨在提供病毒信息但实际上是无用信息（这要与HyperCard stack Virus Reference中提供的信息相区别）。PostScript通过破坏固件可以让苹果打印机无法工作。NVP改变系统文件，使元音无法显示，这样整个系统的显示都会发生变化。最近，出现了经过编译的AppleScript特洛伊木马，详情可参考http://www.sherpasoft.org.uk/MacSupporters/macvir.

html.

然而，这种木马的对全社会的影响比对当事人产生的影响小的多。这是因为它们无法像病毒和蠕虫一样进行自我复制，因而感染第三方的可能性很小。实现这些木马的方式也非常原始，在批处理文件中使用DEL、DELTREE或FORMAT命令很常见，有时只是使用BAT2COM软件将它们编译成.EXE或.COM文件。这样就很难识别。特洛伊木马通常采用实时的方式，即一旦执行它就会进行破坏工作，这也阻止了它的传播。但是也有驻留型木马在每次机器运行时都执行，通常它们会窃取用户密码。那些不是立刻执行非法目的特洛伊木马提高了存活的几率。

这里摘录alt.comp.virus常见问题新闻组中提到的PKZip“Trojan virus”（希望没有拼写错误），这是一个非常有意思的例子。

“最近在警告中提到的一种威胁不是病毒，因为它不会自我复制。

升级BKZip时会阻止特洛伊木马，BKZip的两个版本是PKZ300.EXE和PKZ300B.ZIP，使用它们可以下载制定的网站。

早期的特洛伊木马只有2.0版本。正是因为这个原因PKWare不发布PKZip2.0的版本。如果没有发布其他DOS版本，不可能达到3.0版本（事实上，当时已有2.5版本。）

实际上，几乎很少有案例记载人因下载而受到特洛伊木马的攻击，只有少数人看到过。据我所知，只有在warez服务器上看到过。

有记录说盗版PKZIP3.0感染过病毒，但这种情况还是很少见。据我所知PKZip目前的版本是2.04g或2.50，或者2.60/2.70[Windosw]。

2.06版是为IBM内部用户设计的，如果发现它最好不要使用，因为它要么是违法的要么是盗版的。

最近出现了一种特洛伊木马，虽然不是病毒，但可以损坏调制解调器，V32等。我认为可能是病毒或特洛伊木马改变了调制解调器的配置。

它试图删除文件，但不破坏硬盘。

避免PKZip3.0 的文件是明智的做法。”

这个例子为什么有趣？其一，特洛伊木马攻击的是典型目标，同时会导致自己消失。PKZip是一个非常流行的共享软件。最近，使用同样压缩格式的其他软件超过了PKZip，这也许是今天为什么特洛伊木马不选用它的原因。本节后面还会提到一个类似的工具软件。

其二，目标是盗版软件，这是直接破坏性特洛伊木马的一个特点。

其三，最有意思的一点是由于收到和转递有关特洛伊木马警告邮件（半欺骗）的人数比软多，因而很少有人受到攻击。实际上，转递邮件产生的效果要比特洛伊木马本身还要大（这是特洛伊木马带来的负面影响）。

其中半欺骗是指有关一个真实病毒或特洛伊木马的误导邮件，在它里同呈现了大量的错误信息，这里要区别下列情况：

·一封基于真实恶意软件的警告邮件，但是内容错误太多而没有用处。

·一封基于真实恶意软件的警告邮件，但是因为对相关技术了解太少而没有太大用处。

·一封基于真实恶意软件的警告邮件，但是内容夸张，编造破坏效果的情况，或故意提供错误信息。

警告也是骗局？我认为不是，警告信的目的是好的，只是有一些虚假的内容。

1997年底，盗版的Stufflt Deluxe在网上散播（Stufflt是一个苹果机上最常用的压缩工具）。当安装这个程序时，它会删除系统中的关键文件。然后Stufflt的作者，Aladdin systems在网上公布了对付这个特洛伊木马的解决办法。

恶意的特洛伊木马有时会伪装成杀毒软件。

另一个十分恶劣的特洛伊木马是著名的PC CYBORG，或AIDS木。1989年，大约有10000份携带AIDS木马的软盘发往欧洲、非洲、斯堪的纳维亚和澳洲的医疗机构。当这些医疗机构安装软盘时，特洛伊木马开始工作了，当系统启动一定的次数时，硬盘就被加密。木马作者的想法是要这些用户寄一定的费用来获取解密的口令。幸运的是，一位英国研究病毒的专家破解了这个密码。

参考  可以在CIAC公告上找到相关的资料http://www.ciac.org/ciac/bulletins/a-10

.shtml

2.侵犯隐私的特洛伊木马

这类木马通常会将受害系统的关键信息和特殊信息发回给木马的作者或者破坏系统。一般情况下，其目的是截获口令。当然做这些事情都是采用隐蔽的方式。

许多生产杀毒软件的公司认为这类木马同具有破坏性的木马是不同的这类木马中经常使用窃取密码一词。90年代中期，大多数侵犯隐私的木马的目标主要是美国在线用户。一些杀毒软件使用APS识别这类窃取美国在线用户密码的木马。但是美国在线不是惟一的受害者。在《Where There’s Smoke,There’s Mirrors》一文中，Sarah Gordon和David Ghess指出这个木马在盗取美国在线达7个月之久，这类木马盗取用户密码的手段是使用一些社交技七而不是直接窃取密码。

3.后门漏洞特洛伊木马

有时，特洛伊木马隐藏在合法程序中。Ken Thompson在《Reflections on Trusting Trust》一文中提到在感染了特洛伊木马的情况下，编译中会产生许多有趣的现象。这样，那些知道系统后门漏洞的人就有机可乘了。

但是，隐藏在合法程序中的木马造成的危害不只有访问未授权资源一种表现形式。许多苹果机用户购买了一种第三方厂商的键盘，这种键盘的ROM芯片中已经感染了特洛伊代码，用户的文档中会随机插入“Welcome Datacomp”文件。如果微机主板感染了一种BIOS特洛伊木马，系统在启动时就会在木马作者生日那天播放“生日快乐”的乐曲。

4.远程访问工具（RAT）

几乎没有一种杀毒软件可以检测到所有的特洛伊木马，但是大多数软件还是可以检测出产品支持平台上的特洛伊木马，尤其是那些直接产生危害的木马。然而像Netbus和Back Orifice的远程访问工具是处理合法系统管理和未授权访问系统之间的一种形式。如果系统中安装了客户端软件来访问服务器，服务器就被当成攻击的对象。

从功能上讲，RAT和合法程序间没有区别。区别是在于前者提供了非法访问系统资源的可能。就像网络嗅探器和扫描器不是软件本身的功能有问题，而是使用软件的用户的问题。然而如果自愿安装了RAT软件而不想让非法用户访问系统，这样会造成特洛伊木马吗？使用微软的Word软件也会让用户受到意外的攻击。例如，使用微软Office产品的用户经过很多年才意识到很容易感染宏病毒和特洛伊木马。这说明比尔·盖茨是特洛伊木马的作者？答案是否定的，这是由于支持宏语言不能称为后门。但是，RAT广播表明自己的存在，它有一系列监听端口，对于特洛伊木马是明显的漏洞。这牵扯到作者意图和受害者期望的问题。

这是一个严重的问题——“Bad Guys”经常指出合法软件的漏洞比如微软公司的软件中不为人知的Bug。

然而，一些RAT作者利用这些漏洞设计出“专业”版来向用户索要费用。他们还抗议一些杀毒软件将它们定义为特洛伊木马。抗议起到了一定的作用。一部分杀毒软件已经停止在对Netbus的专业版进行检查，还有一些厂商在讨论标准Netbus Pro的安装过程和感染了特洛伊木马的安装过程的区别。