木马的隐蔽性更强了，从原来的单纯隐藏在某个目录中，发展到了替换系统文件，修改文件修改时间等。

木马从EXE文件靠注册表启动，发展到了DLL文件远程线程插入，替换修改系统DLL文件，靠驱动文件等高级水准，更有写入系统核心中的。木马深藏在系统中，甚至在许多杀毒软件启动前启动，或者是绑定到杀毒软件上，或者修改杀毒软件规则，使得杀毒软件误以为它是合法文件，或者是将木马DLL文件插入到WINLOGON.EXE中，以至于在安全模式下也无法删除。在系统托盘中的病毒的某些部分，创建自动运行文件，然后该病毒还可以复制到目录隐藏，使得用户双击该盘时，运行该病毒，对此，某些用户格式化了系统盘再重装系统，也无法删除它。更有木马，病毒会感染某些盘中的EXE文件，COM文件，使得用户重装系统后，运行该文件后又运行病毒。

木马中招的方式包括：访问不安全网站，访问某些被入侵后的安全网站，在不同机子上使用U盘，通过U盘传播的木马病毒也越来越多，对系统或是一般程序进行溢出后，上传木马，对网络中的主机进行漏洞扫描，然后利用相关漏洞自动传播，利用邮箱漏洞配合网页木马，使用户中招，直接通过QQ等聊天软件传给用户，并叫其运行，在QQ等聊天软件中发布网址给好友，好友不知情下点击中招，通过物理接触主机以及远程破解主机密码等手段中招。

木门在被杀毒软件查杀后，一般马上就会有变种或是升级版本流传，通过对木马进行加壳，修改木马特征码，修改程序等手段使木马免杀。木马还包括ASP和PHP以及ASPX，JSP木马，它们能过网页的形式存在，也可以有很多功能，如常见的ASP木马就有如下功能：登录认证，上传和下载文件，删除，复制，移动，编辑文件，创建新文件，创建目录，搜索文件，更改文件称呼，查看文件修改时间，serv_u漏洞提权，查看服务器信息，查看环境变量，注册表操作，探查网站是否支持PHP，查找网站上已经存在的木马，包括已经加密后的，对服务器上所有盘的文件操作，对数据库进行操作，对网站文件进行打包以及解包，实现单页代理，进行cmd命令行操作，对整站进行挂马等功能。而简单的ASP，PHP，ASPX，JSP木马，则只有一句话。

1.3 本课题研究的意义

通过对木马病毒及其变形的分析，提出可行的防范措施，使更多的用户了解木马病毒，了解防火墙，了解杀毒软件，了解常给系统打补丁的作用，以及加密保管重要文件，机密文件脱机保管的重要性。

1.4 本课题的研究方法及目标

编写一个简单木马，通过网页传播，使用户了解其功能，传播方法，删除方法，危害性以及其变形后的可能情况。要实现以下目标：

1) 记录用户键盘输入

2) 获取本机IP地址

3) 添加管理员admin$密码admin888

4) 替换系统目录下的sethc.exe为cmd.exe

5) 使常见的防火墙和杀毒软件非正常工作

6) 打开3389端口

7) 定期传送文件到指定电子邮件地址，邮件以IP地址与键盘输入为内容

8) 打开设置端口，取得CMD对目标主机的访问

9) 程序被安装成系统服务模式，导致伴随开机自动启动

10) 使用MS06-014网页木马

11)