:远程管理特洛伊木马(RAT)病毒
利用标准的TCP/IP或UDP协议,该客户机给服务器发送指令。服务器在受感染的计算机上做被告知的事情。
木马病毒,含RAT病毒,通常由用户、甚至最聪明的用户不经意地下载下来。访问恶意的网站或者点击恶意的链接都可能招致不想要的特洛伊病毒进入(计算机)。RAT病毒利用普通程序和浏览器中的弱点自行安装。
一旦它们驻留在计算机中,RAT病毒是很难发现和去除的。对于Windows用户,简单地击打Ctrl+Alt+Delete键并不能暴露RAT病毒,因为它们在后台工作,不会出现在任务列表中。
有些非常穷凶极恶的RAT病毒设计成以一种即使在被发现后也非常难去除的方式安装。
例如,Back Orifice RAT病毒的一个变种,叫G_Door,安装其服务器作为Windows系统目录中的Kernel32.exe,存活并锁定在那里并控制注册键。
活动的Kernel32.exe是不能去除的,重新启动也不能清除注册键。每次受感染的计算机开机,Kernel32.exe被再次启动,并被激活和锁定。
有些RAT病毒对已知的或标准的端口进行侦听。其他的则对随机的端口进行侦听,通告它的客户机,电子邮件连接到了哪些端口和哪些IP地址。
通过ISP(因特网服务提供商)连接到因特网上的计算机,虽然常常被认为比静态的宽带连接更安全,也可能被这样的RAT病毒所控制。
RAT病毒服务器这种激活连接的能力,也能让它们中的一些可以入侵防火墙。通常向外的连接是允许的,一旦服务器与客户机建立联系,客户机和服务器就能进行通信,服务器就开始遵循客户机的指令工作。
出于各种原因,系统管理员使用合法工具管理网络,如记录雇员的使用和下载程序更新(与某些远程管理木马病毒的功能非常相像)。这两者间的差别可能是非常小的,远程管理工具被入侵者使用就成了RAT病毒。