借“特洛伊木马屠城记”命名、擅长伪装的木马病毒，在计算机世界里，要比故事中更加猖獗和狡猾，它们会苦练技术隐藏踪迹，使用多种方式隐匿在计算机设备上，持续进行多种恶意行为，给终端用户带来严重的安全威胁。

案例一：火绒工程师根据深圳某企业提供的日志进行分析，发现大量木马病毒（如下图），这些木马病毒恶意行为多样，包括流量暗刷、流量劫持、收集用户信息等行为，并会隐藏在系统内，严重威胁终端安全。

案例二：火绒工程师根据东莞某科技公司提供的日志分析，并对主要病毒类型进行总结，木马病毒出现多次（如下图）。用户终端下载使用的流氓软件携带木马病毒，是该企业重点需要关注的安全问题。

上述企业面临的木马病毒问题并非个例，而是众多企业终端安全问题的缩影。

根据火绒发布的《上半年终端安全回顾：病毒攻击次数过亿网络安全依旧需要常态响应》报告统计，2021上半年，针对木马病毒家族的拦截量和感染量均在各项数值前列，足以证明木马病毒的猖獗现状。

木马病毒为什么可以长期且大量存在于终端设备上呢？

木马病毒擅长伪装，通过多种手段传播。和“特洛伊木马屠城记”中古希腊以木马伪装运送士兵类似，黑客会将木马程序伪装成“正常”程序，通过各种形式传播和扩散，从而感染用户。如黑客会通过邮件、短信中的附带链接传播病毒；黑客会通过各种不知名来源的未知程序传播木马病毒；黑客还会通过各种系统漏洞和软件漏洞，投放木马病毒……当用户访问了带有木马的网页、下载了带有木马的软件等，也就成为了木马病毒的受害者。

木马病毒可以长期存在于被感染者设备上，贻害无穷。隐匿在系统中的盗号木马，会伺机盗取各类账号密码；下载者木马，会通过下载其他病毒来间接对系统产生安全威胁；在后台通过访问特定网址来“刷流量”的点击器木马，还会占用被感染主机的网络带宽……这些不同类型的木马病毒，盗取被感染用户的信息、占用系统资源挖矿、下载病毒、或者开后门将被感染设备作为工具攻击其他设备，严重影响用户终端安全。

通常在用户意识到被感染木马病毒时，被感染设备可能已经遭到严重破坏。因此火绒工程师特别提醒，当你的设备出现下列问题就需要引起重视，是否已经暗藏木马病毒：

关于木马病毒的查杀建议：

1、安装火绒软件，使用【全盘查杀】功能进行查杀；重启后再次快速扫描确认是否有残留报毒。

2、如企业内出现有多台终端出现被感染的情况，可选择部署火绒企业版，通过控制中心下发【全盘查杀】任务。

关于木马病毒的防范建议：

1、个人用户：安装火绒安全，定期全盘扫描查杀；正规途径下载软件，下载软件前进行查杀；不随意打开来自陌生邮件、短信、社交消息中的不知名链接。

2、企业用户：部署火绒企业版；定期通过控制中心对内网终端分批次下发全盘查杀任务；内网如果部署的共享服务器，建议对共享服务器定期进行全盘查杀；对员工使用的软件进行限制，尽量规范企业内软件下载\使用减少、避免使用破解版、绿色版软件。

补充阅读链接：

（1）《根据火绒查杀数据发现 挖矿病毒的套路都在这里》

（2）《上半年终端安全回顾：病毒攻击次数过亿 网络安全依旧需要常态响应》