卡尔瓦伦达:请问病毒和木马有什么不同呀？

木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.

还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!

木马属于病毒的一种类型,病毒的种类很多的,木马只是一种能够实现远程监控的病毒而已.

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。
计算机病毒可根据感染形态进行分类，大致可分为以下几种：
① 引导型病毒：引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。由于现代计算机的启动机制，使得病毒可以在每次开机，操作系统还没有引导之前就被加载到内存中，这个特性使得病毒可以对计算机进行完全的控制，并拥有更大的能力进行传染和破坏。绝大多数引导型病毒有极强的传染性和破坏性，通常会格式化硬盘、修改文件分配表（FAT表）等，一旦发作，计算机的数据通常会全部丢失。这种类型病毒的清除也很简单，不管是什么名字的病毒，只要是引导型的，用干净的软盘（即不含病毒的启动软盘，注意：一定要关闭软盘的写保护，不允许对软盘进行写入操作）启动系统，然后重写硬盘的引导扇区即可清除。由于该类病毒的清除和发现很容易，所以这类病毒都属于很老的了，现在基本上已经灭绝。
② 文件型病毒：文件型病毒通常把病毒程序代码自身放在系统的其它可执行文件（如：*.COM、*.EXE、*.DLL等）中。当这些文件被执行时，病毒的程序就跟着被执行。文件型病毒依传染方式的不同，又分为非常驻型以及常驻内存型两种。非常驻型病毒是将病毒程序自身放置于*.COM、*.EXE或是 *.SYS的文件中，当这些中毒的程序被执行时，就会尝试把病毒程序传染给另一个或多个文件。该类病毒只在感染病毒的程序被调用执行时，传染给其它程序，病毒本身并不常驻内存；常驻内存型病毒躲在内存中，一旦常驻内存型病毒进入了内存，只要有可执行文件被执行，就可以对其进行感染。由于病毒一直常驻内存，所以此时用杀毒软件进行杀毒，存在“带毒杀毒”的问题，通常不易杀干净。一般需要用干净的系统引导盘启动系统后，再进行杀毒才彻底。
③ 复合型病毒：复合型病毒具备引导型病毒和文件型病毒的特性，可以传染*.COM、*.EXE、*.DLL文件，也可以感染磁盘的引导扇区。由于这个特性，使得这种病毒具有很强的传染力，一旦发病，破坏程度也会非常强。
④ 变型病毒：又称幽灵病毒，这一类病毒使用一个复杂的算法，使自己每传播一次都具有不同的内容和长度。一般的做法是：病毒由一段混有无关指令的解码算法和被变化过的病毒体组成。病毒之所以费尽心机进行自身代码的变化，主要原因是为了躲避杀毒软件对其病毒特征代码的扫描，以避免被杀毒软件清除。
⑤ 宏病毒：宏病毒主要利用微软Office软件Word、Excel本身有宏命令的功能而写的一种病毒。所谓的宏，就是一段脚本程序，由于Word、 Excel等软件在处理文档时，为了使程序更智能化地按人的意愿工作，允许在Word中加一些VBS程序，这给宏病毒提供了滋生的土壤，宏病毒就是用这些 VBS程序书写的程序。
⑥ 网页病毒：网页病毒主要利用系统软件的安全漏洞，通过执行嵌入在网页HTML语言内的Jave Applet程序、JavaScript脚本程序、VBS脚本程序和ActiveX部件等可自动执行的程序，强行修改操作系统的注册表和系统配置，或非法控制系统资源，盗取用户文件。这种非法恶意程序能够自动执行，它完全不受用户的控制。你一旦浏览含有该病毒的网页，便可以在不知不觉的情况下中招，给系统带来不同程度的破坏。轻则消耗系统资源，使系统运行速度缓慢，直至重启；重则删除硬盘数据，甚至格式化硬盘。网页病毒发作通常有两种表现形式：一种是修改浏览器和注册表的各种设置，比如：IE的默认首页被修改，标题栏被添加非法信息，注册表被禁止打开等。另一种则是恶性结果，比如：开机出现对话框，格式化硬盘，全方位侵害封杀系统，最后导致瘫痪崩溃，非法读取或盗取用户文件等。网页病毒的预防通常是先打上IE补丁。接下来有两种方法：一是利用IE自身的设置进行预防，使浏览器自身不执行网页上的脚本程序，或屏蔽某些恶性网站。在IE6的internet选项的“常规”选项卡中，先选中某一网站区域，再点击 “自定义级别”即可对IE6浏览器能执行的脚本程序进行限制。要注意的是：禁用IE的JS、VBS等脚本程序的运行后，很多网页特效就没办法显示了；另一种办法，就是使用病毒防火墙，或者直接用第三方IE保护软件来保护。
⑦ “蠕虫”型病毒：顾名思义，计算机蠕虫指的是某些恶性程序代码，会像蠕虫般在计算机网络中爬行，从一台计算机爬到另外一台计算机进行感染。一般来说蠕虫能感染文件，对自身进行复制，消耗系统资源。在互联网环境下，蠕虫病毒变得非常猖獗，它靠复制自己来传播，如果你不对蠕虫的传播渠道进行控制（如操作系统的漏洞、文件共享的权限等），即使你不执行任何外来文件，也会被感染。现在的病毒一般都是既能够感染文件，又可以像蠕虫那样到处爬动（无非就是通过E－ mail、共享文件夹、感染HTML代码，然后就是寻找漏洞获得写权限等等），因此，未来能够给网络带来重大灾难的，必定将是网络蠕虫病毒。
⑧ 木马病毒。木马和蠕虫之间，有某种程度上的依附关系，越来越多的病毒同时具有木马和蠕虫两者的特点。
在病毒日益猖獗的今天，安装杀毒软件和防火墙是最基本的措施。同时建议至少每周更新一次病毒库。
从目前发现的病毒来看，计算机感染病毒后的主要症状有：
1：由于病毒程序把自己或操作系统的一部分用坏簇隐藏起来，磁盘坏簇莫名其妙地增多。
2：由于病毒程序附加在可执行程序头尾或插在中间，使可执行程序容量加大。
3：由于病毒程序把自己的某个特殊标志作为标签，使接触到的磁盘出现特别标签。
4：由于病毒程序本身或其复制品不断入侵占系统空间，使可用系统空间变小。
5：由于病毒程序的异常活动，造成异常的磁盘访问。
6：由于病毒程序附加或占用引导部分，使系统引导变慢。
7：丢失数据和程序。
8：中断向量发生变化。
9：打印出现问题。
10：死机现象增多。
11：生成不可见的表格文件或特定文件。
12：系统出现异常活动。
13：出现一些无意义的画面问候语等。
14：程序运行出现异常现象或不合理的结果。
15：磁盘卷标名发生变化。
16：系统不认识磁盘或硬盘，不能引导系统等。
17：在系统内装有汉字库正常的情况下不能调用汉字库或不能打印汉字。
18：在使用没有写保护的软件的软盘时屏幕上出现软盘写保护的提示。
19：异常要求用户输入口令。
你想尝试一下中病毒的滋味的话可去http://badboycn.yeah.net下载病毒感染模拟器。
若你的计算机发生以上状况，千万不要迟疑，遵循以下步骤处理：
1：立刻断开网络。
2：找“决对干净”的DOS系统磁盘启动计算机。这时，记得要关上这张磁盘个写保护。
3：用杀毒软件开始扫描病毒。
4：若侦测到是文件中毒时，则有三种方试处理：删除文件、重命名文件或是请除病毒。记住：千万不要对中毒文件置之不理，特别是不能让其停留在可执行文件中。
5：若侦测到的是硬盘分区或引导区的病毒时，则你可以用干净的DOS磁盘中的FDISK指令，执行FDISK/MBR命令，以恢复硬盘的引导信息；或是在A驱中执行A:/>SYS C:（C:为中毒磁盘），以救回硬盘引导区的资料。
6：现在，可以重新建文件、重新安装软件或 ，准备备份资料，请切记，备份资料在重新导入系统前，应先进行扫描，以防万一。
7：千万记住，重新建文档到开始运行之前。应再次扫描整个系统，以免中毒文件不小心又被存入系统中。
8：现在可以安心的开始操作计算机了。
（六）Windows系统安全隐患
许多系统都会有这样那样的安全漏洞（Bugs），其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击、Windows98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；另一些是利用协议漏洞进行攻击，如攻击者利用 POP3一定要在根目录下运行的这一漏洞发动攻击，破坏根目录，从而获得超级用户的权限；还有一些漏洞是由于系统管理员配置错误或疏忽引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码以明码方式存放在某一目录下，这都会给黑客带来可乘之机。
防范措施：①个人用户推荐使用Windows XP Professional。这个号称Windows家族最稳定的操作系统，基于NT内核的融合，与以前的各版本相比具有更加安全和更加保密的安全特性，它对系统安全性所做的改善，大大加强了用户建立安全、保密的系统环境的系数。②及时给系统打补丁。可以使用Windows自带的“Windows update”，建议至少每周更新一次，并多留意下官方网站的安全公告。③安装杀毒软件和防火墙。强烈建议至少每周对其更新一次。
另外我们也应充分利用Windows XP的安全特性进行一些必要的安全配置：①使用XP自带的免费Internet连接防火墙。②利用Windows XP内置的IE6.0来保护个人隐私。我们可以在IE6.0中定义透露个人信息的具体参数选项，浏览器会在用户上网时，自动判断所访问的站点的安全、可信等级，根据预先设定的隐私参数，来限制信息方面的流通。③利用加密文件系统（EFS）加密。在Windows XP中EFS使用扩展数据加密标准作为加密算法，EFS自动地为用户生成一对密钥和证书，并在利用了CryptoAPI结构的情况下以公钥加密为基础。加密后的文件夹将限制、识别用户是否属于非法访问，只有对这个文件进行加密的用户可以打开这个文件并使用它。要对文件进行加密，首先你得有NTFS分区，然后右击要加密的文件夹，在弹出的文件夹属性的“常规”栏里依次选择“高级”→“加密内容以便保护数据”→“确定”→“将更改应用于该文件夹、子文件夹和文件”→“确定”，这样，该文件夹、子文件夹及文件都已加密。需要注意的是当对文件夹进行了加密后，一定要制作备份密钥，以防万一。④屏蔽不需要的服务组件。XP众多的服务使用户享受到了前所未有的服务，但是出于种种原因，用户能真正在日常用到的组件还是为数不多，这就造成了很到的系统资源浪费和一定的安全隐患，甚至黑客们还会据此尝试一些入侵，所以屏蔽一些暂时还不需要的服务组件是安全设置中的一个重要部分。⑤管理好

木马（特洛伊木马），也称为后门，英文叫做“Trojan house”，其名称取自希腊神话的《特洛伊木马记》，它是一种基于远程控制的黑客工具，木马的特性一般有：①包含于正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性②具有自动运行性③具有自动恢复功能。④能自动打开特别的端口。⑤包含具有未公开且可能产生危险后果的功能和程序。木马一般有两个程序组成：一个是服务器程序，一个是控制器程序。当你的计算机运行了服务器后，恶意攻击者可以使用控制器程序进入你的计算机，通过指挥服务器程序达到控制你的计算机的目的。黑客可以利用它锁定你的鼠标、记录你的键盘按键、窃取你的口令屡屡拉、浏览及修改你的文件、修改注册表、远程关机、重新启动等等功能。
木马的种类：①远程控制木马。例如冰河②密码发送木马。例如 QQ 木马③键盘记录木马。一般的木马都具有这功能④破坏性质的木马。⑤代理木马。在肉鸡上作跳板的木马。⑥FTP 木马⑦反弹端口型木马。简单来说就是反防火墙的木马，例如网络神偷⑧dll 木马。这是现在最新出来的采用进程插入技术的木马，是最难对付的木马之一。⑨综合型。
想不中木马，先要了解木马植入的惯用伎俩（很多病毒的传播也是利用同样的手段，因为木马也算是病毒的一种）：
1. 邮件传播：木马很可能会被放在邮箱的附件里发给你，当你在没采取任何措施的情况下下载运行了它，即便中了木马。因此对于带有附件的邮件，你最好不要下载运行，尤其是附件名为*.exe的，并且请养成用杀毒软件扫描附件的习惯。
2. QQ传播：因为QQ有文件传输功能，所以现在也有很多木马通过QQ传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起，然后骗你说是一个好玩的东东或者是PLMM的照片，你接受后运行的话，你就成了木马的牺牲品了。
3. 下载传播：在一些个人网站或论坛下载软件时有可能会下载到绑有木马服务器的东东。所以建议要下载工具的话最好去比较知名的网站。在解压缩安装之前也请养成对下好的软件进行病毒扫描的习惯。
在这里提醒一下，若被杀毒软件扫描到有病毒请立即清除。不要以为不运行这些带木马的文件就可以了，下面这种木马植入方法专门用来对付有此想法的人。
4. 修改文件关联。这是木马最常用的手段之一，比方说正常情况下txt文件的打开方式为Notepad.exe（记事本），攻击者可以把txt文件打开方式修改为用木马程序打开，这样一旦你双击一个txt文件，原本应用记事本打开的，现在却变成启动木马程序了！当然，不仅仅是txt文件，其它诸如htm、 exe、zip、com等都是木马的目标。对付文件关联木马，只能检查“HKEY_CLASSES_ROOT\文件类型\shell\open\ command”这个子键，查看其键值是否正常。
5. 直接运行植入。一般是利用系统漏洞把配置好的木马在目标主机上运行就完成了。有关系统安全策略后文会作进一步的讲解。
6. 网页植入。现在比较流行的种植木马方法，也是黑客们惯用的无形杀手，即所谓的网页木马。经常上网的朋友是不是发现在浏览网页的时候，浏览器动不动就会弹出几个提示窗口，其中看见最多的就数3721的提示窗口了。这些窗口的源代码中包含了ActiveX控件，如果不安装里面的控件，以后仍然会出现这种窗口，并且网页的功能就不能实现了。利用这一点，可以制作一个ActiveX控件，放在网页里面，只要用户选择了安装，就会自动从服务器上下载一个木马程序并运行，这样就达到植入木马的目的了。按此方法制作的木马对任何版本的IE都有效，但是在打开网页的时候弹出对话框要用户确定是否安装，只要用户不安装，黑客们就以点办法也没有了。所以当上网的时候弹出对话框询问是否安装某软件或插件，请务必看清楚此消息的来源站点。若是知名网站根据实际需要选择是否安装，若是比较少见或没见过的网址甚至根本看不到网址请毫不犹豫的点击“否”并关闭该窗口。另一类木马主要是利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的木马会悄悄地运行。对于DATA所标记的URL，IE会根据服务器返回HTTP头中的Content－ Type来处理数据，也就是说如果HTTP头中返回的是appication/hta等，那么该文件就能够执行，而不管IE的安全级别有多高。如果恶意攻击者把该文件换成木马，并修改其中ftp服务器的地址和文件名，将其改为他们的ftp服务器地址和服务器上木马程序的路径。那么当别人浏览该网页时，会出现“Internet Explorer脚本错误”的错误信息，询问是否继续在该页面上运行脚本错误，当点击“是”便会自动下载并运行木马。以上两种网页木马都会弹出安全提示框，因此不够隐蔽，遇到此情况只要看清消息来源的站点，再视情况判断有没必要点击“是”。还有一种网页木马是直接在网页的源代码中插入木马代码，只要对方打开这个网页就会中上木马，而他对此还是一无所知。在这里提醒各位网民，对于从未见过的URL（通常都是个人网站/论坛），最好不要访问。
那么怎样判断自己的电脑是否中了木马，中了木马时有什幺现象？很难说，因为它们发作时的情况多种多样。