常见的木马主要可以分为以下 9 大类：
（1）破坏型
这种木马唯一的功能就是破坏并且删除文件，它们非常简单，很容易使用。能自动删除目标机上的 D L L 、I N I 、
E X E 文件，所以非常危险，一旦被感染就会严重威胁到电脑的安全。不过，一般黑客不会做这种无意义的纯粹
破坏的事，除 非 你 和 他 有 仇 。
（2）密码发送型
这 种 木 马 可 以 找 到 目 标 机 的 隐 藏 密 码 ， 并 且 在 受 害 者 不 知 道 的 情 况 下 ，把 它 们 发 送 到 指 定 的 信 箱 。 有 人
喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用 W i n d o w s 提供的密码记
忆 功 能 ， 这 样 就 可 以 不 必 每 次 都 输 入 密 码 了 。 这 类 木 马 恰 恰 是 利 用 这 一 点 获 取 目 标 机 的 密 码 ， 它 们 大 多 数 会
在每次启动 W i n d o w s 时重新运行，而且多使用 2 5 号端口上送 E - m a i l 。如果目标机有隐藏密码，这些木马是非
常 危 险 的 。
（3）远程访问型
这种木马是现在使用最广泛的木马，它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序，客户
端通过扫描等手段知道了服务端的 I P 地址，就可以实现远程控制。

（4）键盘记录木马
这种特洛伊木马非常简单。它们只做一件事情，就是记录受害者的键盘敲击并且在 L O G 文件里查找密码，并且随
着 W i n d o w s 的启动而启动。它们有在线和离线记录这样的选项，可以分别记录你在线和离线状态下敲击键盘时的按键
情况，也就是说你按过什么按键，黑客从记录中都可以知道，并且很容易从中得到你的密码等有用信息，甚至是你
的信用卡账号哦! 当然，对于这种类型的木马，很多都具有邮件发送功能，会自动将密码发送到黑客指定的邮箱。
（5）DoS 攻击木马
随着 D o S 攻击越来越广泛的应用，被用作 D o S 攻击的木马也越来越流行起来。当黑客入侵一台机器后，给
他种上 D o S 攻击木马，那么日后这台计算机就成为黑客 D o S 攻击的最得力助手了。黑客控制的肉鸡数量越多，发
动 D o S 攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在黑客利用
它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。
还有一种类似 D o S 的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对
特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。
（6）FTP 木马
这种木马可能是最简单和古老的木马了，它的惟一功能就是打开 2 1 端口，等待用户连接。现在新 F T P 木马
还加上了密码功能，这 样 ，只有攻击者本人才知道正确的密码，从而进入对方计算机。

（7）反弹端口型木马
木马开发者在分析了防火墙的特性后发现：防火墙对于连入的链接往往会进行非常严格的过滤，但是对于
连出的链接却疏于防范。与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控
制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的被动
端口；为了隐蔽起见，控制端的被动端口一般开在 8 0 ，即使用户使用扫描软件检查自己的端口时，发现类似 T C P
UserIP:1026  Controller  IP:80  ESTABLISHED 的情况，稍微疏忽一点，就会以为是自己在浏览网页，因为浏
览网页都会打开 8 0 端口的。
（8）代理木马
黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上
代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的
情况下使用 T e l n e t ，I C Q ，I R C 等程序，从而隐蔽自己的踪迹。
（9）程序杀手木马
上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常
见的防木马软件有 Z o n e A l a r m , N o r t o n   A n t i - V i r u s 等。程序杀手木马的功能就是关闭对方机器上运行的这类程
序，让其他的木马更好地发挥作用。

（8 ）、（9 ）两种类型的木马实际上是其它类型的木马可能具有的功能，如很多远程访问型木马都可以使
用代理服务器的方式连接肉机，而且连上肉机上首先检查对方不是开启了防火墙，如果有，则杀掉其进程，
这样更有利于黑客隐藏身份，从而实现远程控制的目的 。