后缀名为.DLL的文件是Windows中的库链接文件,是Windows系统中许多驱动和程序运行时必需的文件。DLL文件与EXE文件不同,是不能直接运行的,必须通过其它程序运行加载来实现一定的功能。所谓的DLL木马就像是一个寄生虫,木马以DLL文件的形式,寄宿在某个重要的系统进程中,通过宿主来调用DLL文件,实现远程控制的功能。
图1 系统中的DLL文件
DLL木马设置注入的进程,往往是公认比较“安全”的。比如 “iexplore.exe”或“svchost.exe”,这些进程是默认被防火墙许可访问网络的,所以木马便可混在这些进程中瞒过防火墙的封锁,因此隐蔽性极高。另外,DLL木马与一般的木马与众不同的地方还在于:杀毒软件即使报警提示发现病毒,但是也无法杀掉木马病毒文件,因为木马DLL文件正被宿主调用,无法删除。
要防范DLL木马,最好是不要随意下载并安装来路不明的软件,另外就是要安装强力防火墙和杀毒软件,对防火墙报告的隐藏进程访问网络的情况需要特别注意。确认自己中了何种木马后,应该马上上网查找专杀工具或手工清除办法。
