文章大纲：

• 1、什么是木马病毒，木马病毒有什么特点？
• 2、木马病毒有哪些
• 3、请问怎么知道哪个是病毒？木马？然后它们通常在出没在哪里？

什么是木马病毒，木马病毒有什么特点？

木马病毒是一种危害非常大的病毒，那么木马病毒特点是什么呢？木马病毒特点表现在哪些方面呢？下面我们来看一下木马病毒特点都有什么。

1、危害的持续性。

木马病毒和普通病毒不同，只要它存在在我们的电脑中就会持续的盗取我们的信息，而不会被我们明显的察觉。

2、隐蔽性

木马病毒需要隐藏在你的系统之中，在无人知晓的情况下造成危害。如果木马病毒失去了隐蔽性，它也就失去了意义。

3、他能够开机自动运行

为了达到持续收集信息的目的，木马病毒一般会在我们打开计算机后自动运行，来常驻内存。

4、能自动打开特别的端口

木马程序目的主要是窃取我们的信息，而不是破坏我们的系统，这就要求其多打开几扇方便之门，也就是我们电脑中的端口。

5、破坏性。

木马病毒会盗取我们的信息，造成我们财产的损失。

木马病毒有哪些

蠕虫病毒是一种通过 *** 传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对 *** 造成拒绝服务，以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身，然后在 *** 中传播，严重的占用有限的 *** 资源，最终引起整个 *** 的瘫痪，使用户不能通过 *** 进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失，因此它的危害性是十分巨大的；有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能，更是严重的危害到用户的系统安全。

传播方式：

蠕虫病毒常见的传播方式有2种：

1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷，通过 *** 主动的将自己扩散出去。

2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中，随电子邮件扩散到整个 *** 中，这也是是个人计算机被感染的主要途径。

木马病毒:

完整的木马病毒程序一般由两个部分组成，一个是服务器程序，一个是控制程序，被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马，就如同你的家被人偷偷的装上了后门一样，将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件，做系统管理员才能做的工作（例如格式化磁盘），你的计算机上的所有文件、程序，以及在你使用到的所有帐号、密码都会被别人轻松的窃走。

传播方式：

木马程序通常通过伪装自己的方式进行传播，常见的伪装方式有： 伪装成小程序，通常会起一个很诱人的的名字，例如“FlashGet破解程序”，用户一旦运行这个程序，就中了木马 伪装成网页，网页的链接通常会起一个十分暧昧的名字，诱使用户去点击它，用户一旦点击了这个链接，就中了木马 把自己绑定在正常的程序上面，高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件，一旦用户安装winzip程序，就会不知不觉地把木马种下去 伪装成邮件附件，邮件主题可能会是“好消息”，“你想赚钱吗？”等等，一旦你好奇的打开附件，木马就安置在了你的计算机中

感染对象： 木马程序感染的对象是整台计算机。

请问怎么知道哪个是病毒？木马？然后它们通常在出没在哪里？

可以在任务管理器的进程中找到

一般的正常进程有

进程名描述

* 　 *** ss.exe　Session　Manager

* 　csrss.exe 子系统服务器进程

* 　winlogon.exe　管理用户登录

* 　services.exe　包含很多系统服务

*　 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。

* 　svchost.exe　 Windows 2000/XP 的文件保护系统 (2000一般是2个,XP默认是4个)

SPOOLSV.EXE 　将文件加载到内存中以便迟后打印。)

* 　explorer.exe　资源管理器

internat.exe　托盘区的拼音图标)

mstask.exe允许程序在指定时间运行。

regsvc.exe允许远程注册表操作。(系统服务)-remoteregister

* 　winmgmt.exe 　提供系统管理信息(系统服务)。

inetinfo.exe　msftpsvc,w3svc,iisadmn

tlntsvr.exe 　tlnrsvr

tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。

termsrv.exe 　termservice

dns.exe 　应答对域名系统(DNS)名称的查询和更新请求。

tcpsvcs.exe 　提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。

i *** serv.exe 　允许在 Windows Advanced Server 站点间发送和接收消息。

ups.exe 　管理连接到计算机的不间断电源(UPS)。

wins.exe　为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。

llssrv.exe证书记录服务

ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。

RsSub.exe 控制用来远程储存数据的媒体。

locator.exe 　管理 RPC 名称服务数据库。

lserver.exe 　注册客户端许可证。

dfssvc.exe管理分布于局域网或广域网的逻辑卷。

clipsrv.exe 　支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。

msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统或其它事务保护护资源管理器。

faxsvc.exe帮助您发送和接收传真。

cisvc.exe 索引服务

dmadmin.exe 　磁盘管理请求的系统管理服务。

mnmsrvc.exe 　允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。

netdde.exe提供动态数据交换 (DDE) 的 *** 传输和安全特性。

*** logsvc.exe　配置性能日志和警报。

rsvp.exe　为依赖质量服务(QoS)的程序和控制应用程序提供 *** 信号和本地通信控制安装功功能。

RsEng.exe 协调用来储存不常用数据的服务和管理工具。

RsFsa.exe 管理远程储存的文件的操作。

grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。

SCardSvr.ex 　对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。

snmp.exe　包含 *** 程序可以监视 *** 设备的活动并且向 *** 控制台工作站汇报。

snmptrap.exe　接收由本地或远程 SNMP *** 程序产生的陷阱（trap）消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。

UtilMan.exe 　从一个窗口中启动和配置辅助工具。

msiexec.exe　依据 .MSI 文件中包含的命令来安装、修复以及删除软件。

* SYSTEM IDLE PROCESS 显示的是系统空闲的资源！当然是数值越高越好

* SYSTEM WINDOWS 页面内存管理进程，拥有0级优先权。没有它系统无法启动。

总结：以上打“*”的进程是2000和XP启动是必须的进程，我现在的2000系统开机登陆后就只有12个进程。发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可可疑进程，就象找一群熟悉人中的陌生人一样。

如果还有另外的一些进程，就可能是病毒了