特洛伊木马程序特洛伊木马程序原理及传染机制分析

黑客程序为什么被称作特洛伊木马

特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。

“特洛伊木马”（trojan horse）简称“木马”，据说这个名称来源于希腊神话《木马屠城记》。

古希腊有大军围攻特洛伊城，久久无法攻下。

于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。

城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。

到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。

后世称这只大木马为“特洛伊木马”。

如今黑客程序借用其名，有“一经潜入，后患无穷”之意。

完整的木马程序一般由两个部分组成：一个是服务器端，一个是控制器端。

“中了木马”就是指安装了木马的服务器端程序，若你的电脑被安装了服务器端程序，则拥有相应客户端的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无安全可言了。

木马程序不能算是一种病毒，但可以和最新病毒、漏洞利用工具一起使用用，几乎可以躲过各大杀毒软件，尽管现在越来越多的新版的杀毒软件，可以查杀一些防杀木马了，所以不要认为使用有名的杀毒软件电脑就绝对安全，木马永远是防不胜防的，除非你不上网。

谁知道怎么编写特洛伊木马程序?

如何识别木马 识别木马有新招，希望这篇文章对你有所帮助。

一、经常看到有玩家说，在输入自己的帐号的时候通故意输错帐号和码。

其实这种木马是最早期的木马程序。

现在已经很少有编木马程序的程序员，还按照这种监听键盘记录的思路去编写木马程序。

现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。

大家都知道，不管是传奇还是任何一款程序。

它都是有他所特有的数据的（包括玩家的帐号、密码，等级装备资料等等）。

这些数据都是会通过本机与游戏服务器取得了验证以后，玩家的角色资料才会出现在玩家的面前。

而这些数据在运行的时候都是存放在计算机的内存里面的。

木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~，以我自己的计算机知识，这种语句的大概意思应该是：当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。

也就是说，其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。

下边先来说一下木马是如何通过网页进入你的电脑的，相信大家都知道，现在有很多图片木马，EML和EXE木马，其中的图片木马其实很简单，就是把木马exe文件的文件头换成bmp文件的文件头，然后欺骗IE浏览器自动打开该文件，然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里，接下来的事情很简单，你下次启动电脑的时候就是你噩梦的开始了，EML木马更是传播方便，把木马文件伪装成audio/x-wav声音文件，这样你接收到这封邮件的时候只要浏览一下，不需要你点任何连接，windows就会为你代劳自动播放这个他认为是wav的音乐文件，木马就这样轻松的进入你的电脑，这种木马还可以frame到网页里，只要打开网页，木马就会自动运行，另外还有一种方法，就是把木马exe编译到.JS文件里，然后在网页里调用，同样也可以无声无息的入侵你的电脑，这只是些简单的办法，还有远程控制和共享等等漏洞可以钻，知道这些，相信你已经对网页木马已经有了大概了解， 简单防治的方法： 开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉，然后打开 Explorer浏览器，点工具选项-安全-自定义级别，把里面的脚本的3个选项全部禁用，然后把“在中加载程序和文件”禁用，当然这只是简单的防治方法，不过可能影响一些网页的动态java效果，不过为了安全就牺牲一点啦，这样还可以预防一些恶意的网页炸弹和病毒，如果条件允许的话可以加装防火墙，再到微软的网站打些补丁，反正我所知道的网吧用的都是原始安装的windows，很不安全哦，还有尽量少在一些小网站下载一些程序，尤其是一些号称黑客工具的软件，小心盗不着别人自己先被盗了，当然，如果你执意要用的话，号被盗了也应该付出这个代价吧。

还有，不要以为装了还原精灵就很安全，据我所知，一般网吧的还原精灵都只还原c:盘即系统区，所以只要木马直接感染你安装在别的盘里的游戏执行文件，你照样逃不掉的。

下边介绍一下木马和如何简单的检查一下是否中了木马。

木马程序一般分为服务器端程序和客户端程序两个部分，当服务器端程序安装在某台连接到网络的电脑后，就能使用客户端程序对其进行登陆。

这和PcAnywhere以及NetMeeting的远程控制功能相似。

但不同的是，木马是非法取得对对方电脑的控制权，一旦登陆成功，就可以取得管理员级的权利，对方电脑上的资料、密码等是一览无余。

不过这种木马一般的“伪黑客”很少使用，因为一不小心就会引火上身，被对方反查过来就会偷鸡不成蚀把米了，一般他们都会采用只有服务器端的小木马，这类木马通常会把截取的密码发到一个免费邮箱里，不需要人为操作，有空去收趟邮件就可以了，这种木马遍布互连网的各个角落，的确防不胜防，由于木马程序众多，加之不断有新版本、新品种产生，使得软件无法完全应付，所以手动检查清除是十分必要的。

木马会想尽一切办法隐藏自己，别指望在任务管理器里看到他们的踪影，有些木马更是会和一些系统进程寄生在一起的，如著名的广外幽灵就是寄生在MsgSrv32.exe里；当然它也会悄无声息地启动，木马会在每次用户启动windows时自动装载服务端，Windows系统启动时自动加载应用程序的方法木马都会用上，如启动组、win.ini、system.ini、注册表等等都是木马藏身之地；下边简单说一下如何检查，点开始-运行，输入： msconfig回车 就会打开系统配置实用程序，先点system.ini，看看shell=文件名，正确的文件名应该是“explorer.exe”，如果explorer.exe后边还跟有别的程序的话，就要好好检查这个程序了，然后点win.ini，“run=”和“load=”是可能加载“木马”程序的途径，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了，当然你也得看清楚，因为如“AOL木马”，它把自身伪装mand.exe文件，如果不注意可能不会发现它不是真正的系统启动文件；最后点“启动”，检查里面的启动项是不是有不熟悉的，如果你实在不清楚的话可以把他们全部取消，然后重新运行msconfig，看一下有没有取消的启动项重新被选中的，一般木马都会存在于内存中，（就是线程插入，然后隐藏进程的木马，DLL无进程木马就不会驻留在内存里面，我们在下一次中会讲到）所以发现你取消他的启动项就会自动添加上的，然后你就可以逐步添上你的输入法，音量控制，防火墙等软件的启动项了；还有一类木马，他是关联注册表的文件打开方式的，一般木马经常关联.exe，点开始-运行，输入：regedit回车，打开注册表编辑器，点第一条，也就是HKEY_CLASSES_ROOT，找到exefile，看一下\exefile\shell\openmand里面的默认键值是不是"%1" %* ，如果是一个程序路径的话就一定是中木马了，另外配合两种以上的杀毒软件也是必要的，另外在windows下木马一般很难清除，最后重新启动到dos环境下再进行查杀。

防木马程序、防火墙、及杀毒软件介绍： 1、木马克星： 专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~! 2、绿鹰PC万能精灵2.91 ：专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~! 3、Symantec AntiVirus：这个我就不用再介绍了吧，全球最大的杀毒软件！强力推荐8.1企业版。

4、天网防火墙2.51个人版:天网防火墙个人版在网络效率与系统安全上完全采用天网防火墙的设计思想，采用最底层的网络驱动隔绝，其作用层在网络硬件与Windows网络驱动之间，在黑客攻击数据接触Windows网络驱动之前将所有的攻击数据拦截，保护脆弱的Windows网络驱动不会崩溃 看看这个，是用VB编的木马程序 1.“特洛伊木马”有被称为BO， 是在美国一次黑客技术讨论会上由一个黑客组织推出的。

它其实是一种客户机/服务器程序，其利用的原理就是：在本机直接启动运行的程序拥有与使用者相同的权限。

因此如果能够启动服务器端（即被攻击的计算机）的服务器程序，就可以使用相应的客户端工具客户程序直接控制它了。

下面来谈谈如何用VB来实现它。

使用VB建立两个程序，一个为客户端程序Client，一个为服务器端程序systry。

在Client工程中建立一个窗体，加载WinSock控件，称为tcpClient，协议选择TCP，再加入两个文本框，用以输入服务器的IP地址或服务器名，然后建立一个按钮，按下之后就可以对连接进行初始化了，代码如下： Private Sub cmdConnect_Click() If Len(Text1.Text) = 0 And Len(Text2.Text) = 0 Then MsgBox ("请输入主机名或主机IP地址。

") Exit Sub Else If Len(Text1.Text) > 0 Then tcpClient.RemoteHost = Text1.Text Else tcpClient.RemoteHost = Text2.Text End If End If tcpClient.Connect Timer1.Enabled = True End Sub 连接建立之后就可以使用DataArrival事件处理所收到的数据了。

连接建立之后就可以使用DataArrival事件处理所收到的数据了。

在服务器端systry工程也建立一个窗体，加载WinSock控件，称为tcpServer，协议选择TCP，在Form_Load事件中加入如下代码： Private Sub Form_Load() tcpServer.LocalPort = 1999 tcpServer.Listen End Sub 准备应答客户端程序的请求连接，使用ConnectionRequest事件来应答户端程序的请求，代码如下： Private Sub tcpServer_ConnectionRequest (ByVal requestID As Long) If tcpServer.State < > sckClosed Then tcpServer.Close‘检查控件的 State 属性是否为关闭的。

End If ’如果不是，在接受新的连接之前先关闭此连接。

ept requestID End Sub 这样在客户端程序按下了连接按钮后，服务器端程序的ConnectionRequest事件被触发，执行了以上的代码。

如果不出意外，连接就被建立起来了。

2. 建立连接后服务器端的程序通过DataArrival事件接收客户机端程序所发的指令运行既定的程序。

如：把服务器端的驱动器名、目录名、文件名等传到客户机端，客户机端接收后用TreeView控件以树状的形式显示出来，浏览服务器端文件目录；强制关闭或重启服务器端的计算机；屏蔽任务栏窗口；屏蔽开始菜单；按照客户机端传过来的文件名或目录名，而删除它；屏蔽热启动键；运行服务器端的任何程序；还包括获取目标计算机屏幕图象、窗口及进程列表；激活、终止远端进程；打开、关闭、移动远端窗口；控制目标计算机鼠标的移动与动作；交换远端鼠标的左右键；在目标计算机模拟键盘输入，下载、上装文件；提取、创建、修改目标计算机系统注册表关键字；在远端屏幕上显示消息。

DataArrival事件程序如下： Private Sub tcpServer_DataArrival (ByVal bytesTotal As Long) Dim strData As String Dim i As Long Dim mKey As String tcpServer.GetData strData ‘接收数据并存入strData For i = 1 To Len(strData) ‘分离strData中的命令 If Mid(strData, i, 1) = "@" Then mKey = Left(strData, i - 1) ‘把命令ID号存入mKey ‘把命令参数存入strData strData = Right(strData, Len(strData) - i) Exit For End If Next i Select Case Val(mKey) Case 1 ‘驱动器名、目录名、文件名 Case 2 强制关闭服务器端的计算机 Case 3 强制重启服务器端的计算机 Case 4 屏蔽任务栏窗口； Case 5 屏蔽开始菜单； Case 6 按照客户机端传过来的文件名或目录名，而删除它； Case 7 屏蔽热启动键； Case 8 运行服务器端的任何程序 End Select End Sub 详细程序略。

客户机端用tcpClient.SendData发命令。

命令包括命令ID和命令参数，它们用符号“@”隔开。

另外，当客户机端断开与服务器端的来接后，服务器端应用tcpServer_Close事件，来继续准备接收客户机端的请求，其代码如下： Private Sub tcpServer_Close() tcpServer.Close tcpServer.Listen End Sub 这就是一个最基本的特洛伊木马程序，只要你的机器运行了服务器端程序，那别人就可以在千里之外控制你的计算机。

至于如何让服务器端程序运行就要发挥你的聪明才智了，在我的源程序中有一中方法，是修改系统注册表的方法。

这就是一个最基本的特洛伊木马程序，只要你的机器运行了服务器端程序，那别人就可以在千里之外控制你的计算机。

至于如何让服务器端程序运行就要发挥你的聪明才智了，在我的源程序中有一中方法，是修改系统注册表的方法。

成功的特洛伊木马程序要比这个复杂一些，还有程序的隐藏、自动复制、传播等问题要解决。

警告：千万不要用BO程序破坏别人的系统。

特洛伊木马程序原理及传染机制分析

木马，也称特洛伊木马，英文名称为Trojan Horse，是借自“木马屠城记”中那只木马的名字。

古希腊有大军围攻特洛伊城，久久不能得手。

有人献计制造一只高二丈的大木马假装作战马神，攻击数天后仍然无功，遂留下木马拔营而去。

城中得到解围的消息，及得到 “木马”这个奇异的战利品，全城饮酒狂欢。

到午夜时分，全城军民尽入梦乡，匿于木马中的将士开密门游绳而下，开启城门四处纵火，城外伏兵涌入，焚屠特洛伊城。

后世称这只木马为 “特洛伊木马”，现今计算机术语借用其名，意思是 “一经进入，后患无穷”。

特洛伊木马原则上和一些远程控制程序如PCanywhere等一样，只是一种远程管理工具，而且本身不带伤害性，也没有感染力；但却常常被人们视之为病毒，原因是如果有人不当地使用，破坏力可以比病毒更强。

　　由于很多新手对安全问题了解不多，再加上木马程序具有隐蔽性强的特点，不借助专门的监控软件，很不容易发现特洛伊木马的存在和黑客的入侵。

虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的 “木马”程序，因此最关键的是要知道“木马”的工作原理，这样就会很容易发现 “木马”，并且知道怎么清除自己计算机中的 “木马”了。

　　木马攻击原理 　　木马攻击是黑客最常用的攻击方法，因此，在本章中我们将使用较大篇幅来介绍木马的攻防技术。

　　木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等，一台计算机一旦被一个功能强大的木马植入，攻击者就可以像操作自己的计算机一样控制这台计算机，远程监控这台计算机上的所有操作。

　　在使用木马的人群中菜鸟黑客居多，他们往往接触网络不久，对黑客技术很感兴趣，很想向众人和朋友显示一番，但是攻击技术却不高，不能采取别的方法攻击。

于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱，而且随着国产木马的不断出现，多数黑客的入门攻击几乎无一例外都是使用木马。

当然对于那些黑客老手来说他们也并不是不使用木马了，他们通常会在得到一个服务器权限的时候植入自己编写的木马作为后门，以便将来随时方便进出这台服务器。

　　提示 　　黑客高手们自己编写的木马一般杀毒软件和木马扫描软件都不会认为是木马或病毒，具有很大的危害性。

　　1、木马的分类 　　常见的木马主要可以分为以下9大类： 　　（1）破坏型 　　这种木马唯一的功能就是破坏并且删除文件，它们非常简单，很容易使用。

能自动删除目标机上的DLL、INI、 　　EXE文件，所以非常危险，一旦被感染就会严重威胁到电脑的安全。

不过，一般黑客不会做这种无意义的纯粹 　　破坏的事，除非你和他有仇。

　　（2）密码发送型 　　这种木马可以找到目标机的隐藏密码，并且在受害者不知道的情况下，把它们发送到指定的信箱。

有人 　　喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用Windows提供的密码记 　　忆功能，这样就可以不必每次都输入密码了。

这类木马恰恰是利用这一点获取目标机的密码，它们大多数会 　　在每次启动Windows时重新运行，而且多使用25号端口上送E-mail。

如果目标机有隐藏密码，这些木马是非 　　常危险的。

　　（3）远程访问型 　　这种木马是现在使用最广泛的木马，它可以远程访问被攻击者的硬盘。

只要有人运行了服务端程序，客户 　　端通过扫描等手段知道了服务端的IP地址，就可以实现远程控制。

　　当然，这种远程控制也可以用在正道上，比如教师监控学生在机器上的所有操作。

　　远程访问型木马会在目标机上打开一个端口，而且有些木马还可以改变端口、设置连接密码等，为的是只 　　有黑客自己来控制这个木马。

　　改变端口的选项非常重要，因为一些常见木马的监听端口已经为大家熟知，改变了端口，才会有更大 　　的隐蔽性。

　　（4）键盘记录木马 　　这种特洛伊木马非常简单。

它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码，并且随 　　着Windows的启动而启动。

它们有在线和离线记录这样的选项，可以分别记录你在线和离线状态下敲击键盘时的按键 　　情况，也就是说你按过什么按键，黑客从记录中都可以知道，并且很容易从中得到你的密码等有用信息，甚至是你 　　的信用卡账号哦!当然，对于这种类型的木马，很多都具有邮件发送功能，会自动将密码发送到黑客指定的邮箱。

　　（5）DoS攻击木马 　　随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。

当黑客入侵一台机器后，给 　　他种上DoS攻击木马，那么日后这台计算机就成为黑客DoS攻击的最得力助手了。

黑客控制的肉鸡数量越多，发 　　动DoS攻击取得成功的机率就越大。

所以，这种木马的危害不是体现在被感染计算机上，而是体现在黑客利用 　　它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。

　　还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对 　　特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。

　　（6）FTP木马 　　这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。

现在新FTP木马 　　还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。

　　（7）反弹端口型木马 　　木马开发者在分析了防火墙的特性后发现：防火墙对于连入的链接往往会进行非常严格的过滤，但是对于 　　连出的链接却疏于防范。

与一般的木马相反，反弹端口型木马的服务端 （被控制端）使用主动端口，客户端 （控 　　制端）使用被动端口。

木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的被动 　　端口；为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口时，发现类似TCP 　　UserIP:1026 Controller IP:80 ESTABLISHED的情况，稍微疏忽一点，就会以为是自己在浏览网页，因为浏 　　览网页都会打开80端口的。

　　（8）代理木马 　　黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上 　　代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。

通过代理木马，攻击者可以在匿名的 　　情况下使用，ICQ，IRC等程序，从而隐蔽自己的踪迹。

　　（9）程序杀手木马 　　上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。

常 　　见的防木马软件有ZoneAlarm,Norton Anti-Virus等。

程序杀手木马的功能就是关闭对方机器上运行的这类程 　　序，让其他的木马更好地发挥作用。

　　提示 　　（8）、（9）两种类型的木马实际上是其它类型的木马可能具有的功能，如很多远程访问型木马都可以使 　　用代理服务器的方式连接肉机，而且连上肉机上首先检查对方不是开启了防火墙，如果有，则杀掉其进程， 　　这样更有利于黑客隐藏身份，从而实现远程控制的目的。

　　2、木马是如何侵入系统的 　　我们知道：一般的木马都有客户端和服务器端两个执行程序，其中客户端用于攻击者远程控 　　制植入木马的计算机，服务器端程序就是我们通常所说的木马程序。

攻击者要通过木马攻击计算机系统，所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。

　　提示 　　注意木马的客户端和服务器端的称谓，被置了木马的机器称为服务器端，而黑客控制的一端称为客户端。

　　目前木马入侵的主要途径是通过一定的方法把木马执行文件植入被攻击者的电脑系统里，如通过邮件发送、文件下载、网页浏览等，然后通过一定的提示误导被攻击者打开执行文件，比如谎称该木马执行文件是朋友的贺卡文件，用户在毫无防备的情况下打开这个文件后，确实有贺卡的画面出现，但这时木马可能已经在后台悄悄运行了。

　　那为什么用户一般都不会发现自己的主机运行了木马程序呢？ 　　这主要是因为木马的执行文件一般都非常小，最大不过几十K。

因此，如果把木马捆绑到其他正常文件上是很难发现的。

有一些网站提供的软件下载往往是捆绑了木马文件的，在执行这些下载的文件时，也同时运行了木马。

　　木马在被植入主机后，它一般会通过一定的方式把入侵主机的信息，如主机的IP地址、木马植入的端口等发送给攻击者，攻击者有这些信息才能够与木马里应外合控制攻击主机。

　　由于任何木马都有一个服务端程序，要对一台目标机进行远程控制都必须将服务端程序送入目标机，并诱骗目标机执行该程序。

这是用木马进行远程控制中的重要一步，也是很有技巧的一步。

　　木马的传播方式主要有两种： 　　① 通过E-mail，由控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马。

　　这一种方式关键的一点，就是如何让对方打开附件。

一般情况可在邮件主题写一些吸引人的、易引起人好奇的内容，促使对方毫无知觉地自动种上木马，被你控制。

　　② 通过软件下载，一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装了。

　　要想对方下载你放在网站上的软件，可以取一些特诱惑人的名称，如某某明星的图片，某某软件的破解版等让人易上当的名称，从而也让别人在不知不觉中种上木马，将端口开放给你，任你使用。

　　在早期的木马里面，大多是通过发送电子邮件的方式把入侵主机信息告诉攻击者，有一些木马文件干脆把主机所有的密码用邮件的形式通知给攻击者，这样攻击者就不用直接连接攻击主机即可获得一些重要数据，如攻击OICQ密码的GOP木马即是如此。

　　不过，使用电子邮件的方式对攻击者来说并不是最好的选择，因为如果木马被发现，就可以通过该电子邮件的地址找出攻击者。

现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。

　　除了邮件植入外，木马还可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入，由于IE浏览器在执行Script脚本上存在安全漏洞，因此，木马就可以利用这些漏洞很容易植入被攻击的电脑。

　　此外，木马还可以利用一些系统漏洞植入，如著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序使IIS服务器崩溃，同时在服务器上执行木马程序，从而植入木马。

　　3、木马是如何实施攻击的 　　木马可以以任何形式出现，可能是任何由用户或客户引入到系统中的程序。

它可能泄漏一些系统的私有信息，或者控制该系统，这样，它实际上就潜伏着很大的危险性。

　　通常木马采取六个步骤实施攻击：配置木马 （伪装木马）→传播木马 （通过E-mail或者下载）→运行木马 （自动安装、自启动)→信息泄漏 （E-mail、IRC或ICQ的方式把你的信息泄露出去）→建立连接→远程控制。

　　至此，木马就彻底掌握了主动权，而你，就坐以待毙吧！