什么是 后门程序 以及如何移除它

后门程序是一个恶意的计算机程序，它通过系统漏洞提供未经授权的远程访问，让攻击者得以访问受侵入的计算机。后门程序在后台运行，用户无法看到它们。它与其他恶意软件病毒非常相似，因此很难被检测到。后门程序是其中一个最危险的寄生虫类型，因为它能让不怀好意的人在受侵入的计算机上进行任何活动。攻击者可以使用后门程序来偷窥用户、管理他/她的文件、安装额外的软件或危险的威胁、控制整个计算机系统并攻击其他主机。通常后门程序带有额外的杀伤力，比如击键记录、屏幕截图、文件感染和加密。这种寄生虫是各种隐私和安全威胁的组合，可以自行操作并且不需要被控制。

大多数的后门程序都是恶意程序，必须以某种方式安装到计算机。然而，一些寄生虫不需要经过安装，因为它们的部件已经集成到在远程主机上运行的软件中。程序员有时会在其软件中留下这样的后门程以用于诊断和故障排除目的。但是，黑客使用它们只为了进入系统。

一般来说，后门程序是特定的木马程序、病毒、击键记录、反间谍软件和远程管理工具，它们的操作方式和所提的病毒应用程序一样。然而，它们的功能和负载是更加复杂和危险的，因此它们被归类在同一个类别里。

后门程序是如何自我传播的？

后门程序无法在用户不知情下传播自己及感染系统，大部分的寄生虫必须靠着与其他软件捆绑的方式手动安装。这些威胁进入系统的主要方法有四个。

• 不知情的计算机用户会不小心在他们的计算机上安装典型的后面程序，它们可能会附加在电邮讯息或文件共享程序里。它们的作者会为它们取个不起眼的名字，并会诱骗用户打开或执行这些文件。
• 后门程序通常是被其他寄生虫比如病毒、木马程序甚至是间谍软件安装的。它们会在用户不知情或没有取得用户同意的情况下进入系统，并侵略每一个使用这个计算机的用户。有些威胁会被拥有足够安装软件特权且不怀好意的用户手动安装。小部份的后门程序是通过远程系统的安全漏洞传播的。
• 几个后门程序已经集成到特定的应用程序中，甚至是合法的程序都可能有未记录的远程访问功能。黑客需要这些软件被安装在计算机上以联系计算机，这样他们就可以取得立即对系统未经授权的访问，或对特定软件的接管。
• 一些后后门程序会利用某些软件的漏洞来感染计算机，其操作原理和蠕虫一样，会在用户不知情下自动传播。用户无法发现任何的可疑点，因为这些威胁不会显示任何的设置向导、对话或警告。

广为传播的后门程序通常侵入运行 Microsoft Windows  操作系统的计算机，然而许多比较不普遍的寄生虫也被设计以操作於不同的环境比如 Mac OS X 操作及其他。

这个计算机感染会引发什么风险呢？

后门程序允许攻击者像使用自己的计算机一样的方法来操作受感染的计算机，并使用受感染的计算机来达到各种恶意的目的，甚至是犯罪活动。在大多数情况下，很难找到是谁在控制寄生虫。事实上，所有的后门程序是非常难以检测的，它们可能已经违反用户的隐私长达数个月甚至数年，直到用户发现它们。不怀好意的人会使用后门程序来找出关于用户的一切，取得并公开比如用户的密码、登录名字、信用卡号码、准确的银行账户详细信息、有价值的个人文件、联系人、兴趣、网页浏览习惯等等的无价信息。后门程序可用于破坏目的，如果黑客无法从受感染的计算机获得任何有价值的有用信息或已经偷走了它，他最终可能会毁坏整个系统以消灭他的痕迹，这意味着所有硬盘将被格式化，所有文件将被不可恢复地被除掉。

当后门程序找到方法进入系统时，它会启动这些活动：

• 允许侵略者创建、删除、重新命名、复制或编辑任何文件；执行各种指令；更改系统的任何设置；修改 Windows 注册表；运行、控制及终止应用程序；安装其他的软件和寄生虫。
• 在没有征询许可下，允许攻击者控制计算机的硬件设备、修改相关设置、关闭或重新启动计算机。
• 窃取敏感的个人信息、有价值的文档、密码、登录名字、身份识别信息，记录用户的活动和追踪网页浏览习惯。
• 记录击键并捕获屏幕截图。此外，将所有收集的数据发送到预定的电邮地址，上传到预定的 FTP 服务器或通过后台互联网的连接传送到远程主机。
• 感染文件、损坏已安装的应用程序和破坏整个系统。
• 将受感染的文件分发到具有某些安全漏洞的远程计算机，对黑客指定的远程主机发动攻击。
• 安装隐藏的 FTP 伺服器，让不怀好意的人用于各种非法目的。
• 降低网络的连接速度和整体系统性能。
• 通过隐藏其文件及不提供卸载功能以防止被移除。

后门程序最有名的例子是什么？

后门程序有很多种，以下的例子说明了这些寄生虫的功能和其危险性。

FinSpy 是一个允许远程攻击者从互联网下载和执行任意文件的后门程序，这个寄生虫会通过更改 Windows 的默认防火墙设置及启动其他系统更改来降低整体系统的安全。FinSpy 依赖于使用随机名字的文件，因此很难检测到这个后门程序及将它从系统移除。这个后门程序在 Windows 每次启动后自动运行，只有在已更新的反间谍软件的帮助下才能停止它的运行。

Tixanbot 是一个极其危险的后门程序，它让远程攻击者完整取得未经授权的访问权以访问受侵略的计算机。这个侵略者可以管理整个系统和文件、下载并安装任意的应用程序、更新该后门程序、更改 Explorer 的默认主页、攻击远程主机并取得系统信息。Tixanbot 会终止正在运行的必要系统服务和安全相关的进程、关闭活跃的间谍软件移除程序及删除与防火墙、抗毒软件和反间谍软件相关的注册表以防止它们在 Windows 启动时运行。这个寄生虫也会阻止访问有信誉的安全相关网站。Tixanbot 会传播，它会以特定的链接将讯息发送给所有的 MSN 联系人。点击这些链接会下载并安装后门程序。

Briba 是一个能让黑客非法远程访问受感染计算机系统的后门程序，这个寄生虫运行一个隐藏着的 FTP 伺服器，可以使用来下载、上传及运行恶意的软件。Briba 的这些活动可能会导致系统的不稳定性、计算机性能降低和隐私侵犯。

从系统移除后门程序

后门程序是非常危险的寄生虫，必须从系统移除。你很难以手动方式找出或移除后门程序，这就是为什么我们高度建议你使用自动移除选项。有很多程序可以移除后门程序病毒，最可靠的应该是 FortectIntego。 你也可以试试 SpyHunter 5Combo Cleaner，把它当成替代的安全工具。然而，请确保你在启动这些程序之前记得将它们更新，这有助于你摆脱特定的后门程序，避免出现可能的故障和其他问题。