什么是特洛伊木马

中了木马怎么办？（转）

揪出隐藏的“木马”

木马，又名特洛伊木马（Trojan），其名称取自古希腊神话的特洛伊木马记，它是一种基于远程控制的黑客工具，具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己、加载运行的目的。让我们一起来看看木马常用的激活方式。
在Win.ini中启动
在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果后面跟着程序，比如： run=c:windowsfile.exe load=c:windowsfile.exe
这个file.exe很可能就是木马程序！
修改文件关联
修改文件关联是木马们常用手段（主要是国产木马，老外的木马大都没有这个功能），比方说正常情况下TXT文件的打开方式为Notepad.exe文件，但一旦中了文件关联木马，则TXT文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河。
“冰河”就是通过修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值，将“C:WINDOWSNOTEPAD.EXE%1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE%1”，这样当你双击一个TXT文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了，好狠毒哦！请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标，要小心喽。对付这类木马，只能经常检查HKEY_CLASSES_ROOT文件类型shellopencommand主键，查看其键值是否正常。
捆绑文件 ??
实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。
在System.ini中启动 ??
System.ini位于Windows的安装目录下，其[boot]字段