关于winform木马群

木马的传播方式

在特洛伊木马程序进行攻击之前，它必须先找到某种方法引诱受害人复制、下载和运行它。由于很少有人明明知道是恶意程序还去运行，所以特洛伊木马必须把自己伪装成受害人认为是无害的其他程序(比如游戏、实用程序或流行软件)。

除把自己伪装成无害的程序之外，特洛伊木马还能乔装打扮，把自己隐藏在一个合法的程序中，如Adobe Photoshop或Microsoft Excel。恶意的黑客为此编写了专门的包装程序或绑定程序，如Saran Wrap、Silk Rope、The Joiner，可以把任何特洛伊木马打包在另一个程序中，因此减少了被人发现的可能性。由于大多数用户不会怀疑来自知名大公司的程序会包含特洛伊木马，受害人很可能去运行包含木马的程序。

黑客在编写特洛伊木马程序后，下一步便是传播，例如把它复制到受害人的机器上，把它贴到站点上供人下载，作为电子邮件的附件发送，通过IRC和在线的聊天室发送，或通过ICQ和其他即时的消息传递服务进行传播。

6.1.1 把特洛伊木马物理地复制到计算机

如果某人能从物理上访问您的计算机，他只要简单地把特洛伊木马程序复制到您的计算机硬盘上就可以了。如果攻击者技艺高超，他还能创建一个定制的木马，模仿只有该计算机才有的程序的样子，比如公司的登录屏幕或公司的数据库程序。这样的木马程序不仅更能骗过受害人，还能针对特定的计算机执行某个动作，例如盗取公司的信用卡号码清单，或复制游戏软件公司尚未发布的游戏的源代码，并把它们贴到网上。

6.1.2 从站点下载软件

特洛伊木马经常现身于提供免费软件(如共享软件)的站点。Web上的这些社区聚会场所给木马编写者提供了一定程度的隐身，以及随机攻击尽可能多的受害人的机会。由于站点的操作人员很少有时间全面地检查用户所贴的每一个文件，偶尔就会有特洛伊木马从检查程序的眼皮底下溜走，不被发觉。

当然，站点管理员一旦发现特洛伊木马的踪迹，就会删掉，以防止别人下载。但是，从特洛伊木马贴到站点上到管理员把它删掉这段时间中，很多人可能已经下载了木马，并辗转传播给了别人。所以，即使能轻而易举地删掉特洛伊木马，但要找到和删