一般的木馬的危害都是遠程控制用戶的電腦，伺機盜取用戶的個人隱私數據，例如網游賬號、QQ賬號等，可目前網絡中出現了一種特殊的木馬——代理木馬，如果用戶的電腦中了該木馬，電腦就會被木馬控制，用來發動DDos攻擊。

　　什么是DDos?

　　DDos英文名是Distributed Denial of service ，意思是分布式拒絕服務攻擊，通俗地說就是大量電腦同時向特定目標發送垃圾數據包，例如服務器、網站或者單臺電腦，造成特定目標癱瘓。

　　DDos攻擊危害很大，那應該如何抵御呢?要定期進行檢測，尋找并排除潛在的全漏洞;為服務器配置硬件防火墻，可以很好地抵御DDos攻擊;設置路由器，限制SYN/ICMP數據包的流量，也可以很好地降低DDos攻擊的危害;通過Unicast Reverse Path Forwarding反查詢攻擊的IP地址源，屏蔽IP地址源。

　　代理木馬是作惡手段剖析

　　代理木馬主要通過網頁掛馬的方式傳播，當它進入用戶電腦后，就會釋放.bat腳本文件，將自身拷貝到C:\Windows\system32目錄，重命名為yxdwl.exe(圖1)，需要注意的是不同變種生成的文件名可能不同，接著創建同名的系統服務指向這個文件，這樣操作后，木馬就可以隨系統自啟動了。

　　為了逃過殺毒軟件的查殺，代理木馬在程序入口處插入了花指令、通過寄存器EBX異或26的方法加密，經過變形和加密處理后的代理木馬極難查殺。為了防止用戶在任務管理器中發現端倪，它還將自身進程名改為svchost.exe，偽裝成系統的進程。

　　編注：花指令(junk code) 意思是程序中一些由設計者特別設計的指令，希望使反匯編的時候出錯，讓破解者無法清楚正確地反匯編程序的內容，迷失方向。經典的是一些跳轉指令，目標位置是另一條指令的中間，這樣在反匯編的時候便會出現混亂。花指令有可能利用各種 jmp、call、ret以及一些堆棧技巧、位置運算運用等等。

　　做完這些，代理木馬就會遠程連接rj55.33**.org，下載其他病毒以及一個帶有IP地址的數據包，接著木馬就會不停地向該IP地址發送ping包，展開拒絕服務攻擊，IP地址不是固定的，木馬作者隨時可以改變攻擊目標。

　　查殺代理木馬

　　系統比較慢，上網速度也慢下來，就有可能是中了代理木馬，先調用殺毒軟件，升級后在安全模式下全盤殺毒。如果殺毒軟件無法清除該病毒，怎么辦?

　　不妨使用安全輔助工具來清除該病毒，啟動安全輔助工具后，掃描系統看看病毒對系統都做了什么，揪出病毒在系統中的藏身之處，然后根據掃描的結果修復系統。修復系統后，再用殺毒軟件查殺殘余的病毒文件，可以多試幾款殺毒軟件。

　　如果你有一定的安全基礎或者病毒連安全輔助工具也查不出，不妨試試手動清除病毒。啟動安全管理工具ATool【點擊下載】，打開ATool，選擇左側的“進程管理”(圖2)，在界面中可以看到被軟件提示為危險的進程。

　　除了高亮顯示的進程，再查看“發行商”、“概述”兩項，是不是有信息為空的進程，如果有，也有可能是木馬進程，再進一步判斷該進程是不是與系統的進程同名、該進程是不是在任務管理器中看不到。一般來說，“發行商”、“概述”為空的進程都非常可疑，絕不是系統進程，不妨都先結束。

　　定位可疑的進程，在左側點擊“服務管理”查看系統服務(圖3)，發現了兩個高亮顯示的可疑服務，選中這兩個服務，點擊右鍵選擇“停止”，然后選擇“刪除”，接著在資源管理器中將C:\Windows\system32下的yxdwl.exe和Theurlwd.url刪除，最后再重啟電腦調用殺毒軟件進行全盤查殺。