什么是木马,什么是木马病毒 什么是木马病毒
木马程序是目前比较流行的一类病毒文件,它与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行,或以捆绑在网页中的形式,当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件和隐私,甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;而木马程序则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是毫无价值的。
木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行,电脑就会有一个或几个端口被打开,黑客就可以利用控制端进入运行了服务端的电脑,甚至可以控制被种者的电脑,所以被种者的安全和个人隐私也就全无保障了!
随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003),微软的任务管理器也一下子“脱胎换骨”,变得“火眼金睛”起来 (在Win9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WinNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WinNT的任务管理器),这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。
要弄清楚什么是动态嵌入式DLL木马,我们必须要先了解Windows系统的另一种“可执行文件”——DLL,DLL是Dynamic Link Library(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,DLL文件一般都是由进程加载并调用的。
因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe),那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能,所以,预防DLL木马也是相当重要的。
在WinNT系统,DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录,里面的文件很多,在里面隐藏当然很方便了),针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车,再输入cd C:\Windows\System32回车,这就转换目录到了System32目录(要还是不知道怎么进入的,请参看DOS的cd命令的使用),输入命令:dir *.exeexebackup.txt dir *.dlldllbackup.txt回车。
这样,我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时,则要考虑是不是系统中已经潜入了DLL木马。
这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中,然后运行 CMD—fc exebackup.txt exebackup1.txtdifferent.txt fc dllbackup.txt dllbackup1.txtdifferent.txt(使用FC命令比较前后两次的DLL和EXE文件,并将结果输入到 different.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。
没有是最好,如果有的话也不要直接删除掉,可以先把它移到回收站里,若系统没有异常反应再将之彻底删除,或者把DLL文件上报给反病毒研究中心检查。
最后,防治木马的危害,专家建议大家应采取以下措施:
第一,安装反病毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,使用安全性比较好的浏览器和电子邮件客户端工具。
第四,操作系统的补丁要经常进行更新。
第五,不要随便打开陌生网友传送的文件和下载、使用破解软件。
相信大家只要做好安全防护工作,防治木马并不是那么可怕的。
木马病毒----谁知道?
所谓的木马程式 先从名字来看 木马 取自希腊神话 特洛伊木马屠城纪 是说敌人留一只木马 而你又傻傻的把他弄进城里 杀你全家
木马程式跟木马屠城很像 都是你自己把木马(病毒)迎进家门口的 但是木马程式的种类很多 最常用的就是一些腥煽色的东西 所以来路不明的东西不要下载 在来是 木马有分很多种 最基本的是测录你的纪录 最强的是远端遥控 木马应该不算病毒 他不太会造成你系统毁损 但是你的资料会不保 资源会被占用 等等后果 而且木马程式用一般的扫毒软体无法扫掉( 诺顿 趋势)而是要另外去查询方法 用手动的方法去扫掉 大概就是这样吧
PWSteal.Lemir.Gen 是对一类游戏盗密木马的统称,与一般的木马病毒不同的是这个名称并不代表著一个固定的木马,而是一类木马,并且这类木马的数目极其繁多,清除方法也各不相同。 以前我们曾经撰写过一篇《手工彻底清除 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木马的方法》 的文章,用来介绍清除一个档案是 SysModule32.DLL、SysModule64.DLL 的 PWSteal.Lemir.Gen 木马,但由於许多朋友没有留意到文章前面的提示,以为 PWSteal.Lemir.Gen 指的都是同一个木马,使用这个方法应该是可以的,结果按照指示反覆操作也无法成功,非常失望。
一般的,当您遇到这种木马时可以先尝试用自己的防毒软体来清除它,但如果防毒软体在发现这种木马后却无法成功清除掉它,总是报告清除失败或隔离失败,那该怎麼办呢?
费尔托斯特安全是一款可以清除木马和病毒的软体,它可以清除大量的 PWSteal.Lemir.Gen 木马,如果您有它的正式版可以在升级到最新病毒码后尝试用它扫瞄清除,但这里需要特别提醒一下:由於这类木马新变种层出不穷,所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那麼除此之外难道就没有其他办法了吗?有的,下方就介绍一个借助免费工具「费尔木马强力清除助手」来清除这种顽固性 PWSteal.Lemir.Gen 木马的方法:
使用这个方法前必须要先知道这个木马的档案名是什麼。防毒软体在发现木马后一般都会报告它的完整档案名,您需要先准确的记录下这个档案名。比如:如果防毒软体提示 C:\Windows\hello.dll 是 PWSteal.Lemir.Gen 木马,则记下 C:\Windows\hello.dll 这个名子。这里需要注意档案名一定要记准确,因为有许多木马会把自己的档案名故意伪装成和正常的档案名很接近,比如 svch0st.exe(木马)-svchost.exe(正常)、Expl0rer.exe(木马)-Explorer.exe(正常)、intrenat.exe / internet.exe(木马)-internat.exe(正常)等等。特别是数位0几乎和大写字母O一样,很容易让人看错,所以一定要注意区分它们,否则万一记错将有可能把正常的档案清除掉,那就麻烦了;
暂停防毒软体的即时监控,防止在清除时被它阻止造成失败。比如如果当初是你的诺顿发现了这个木马,那麼请先暂停诺顿的即时监控或即时扫瞄;
下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip;
释放 PowerRmv.zip 到一个目录,然后执行其中的 PowerRmv.exe 启动「费尔木马强力清除助手」。在「档案名」中输入要清除的 PWSteal.Lemir.Gen 木马档案名。比如如果您在第1步中记下的档案名是 C:\Windows\hello.dll,那麼这时就输入它;
按「清除」。这时程式会询问你是否要举报此病毒到费尔安全实验室,建议点「是」表示同意。接著程式会继续提示是否确定要清除它,仍然选「是」;
之后,如果此木马被成功清除程式会提示成功;或者也可能提示此木马无法被立即删除需要重新启动电脑。无论是哪种情况请点选「确定」,这时如果您在前面同意了举报此木马那麼程式会自动创建并开启一个「病毒举报」的电子邮件,其中会包含这个木马的样本档案,如果您看到了这个邮件请把它直接传送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系,可以忽略。
最后,如果程式前面提示了重新启动电脑后才能清除那麼请一定重新启动您的电脑,在电脑重新启动后这个木马应该就被清除掉了。
重要提示: 如果您按上面的方法操作之后,发现不久这个木马又出现了,并且还是同样的档案名,那麼您可以用上面的方法再重复执行一次,不过这次操作时请选择程式中的「抑制档案再次生成」选项, 这样清除后一般木马就很难再复活了。这个功能是最新版「费尔木马强力清除助手」中提供的,如果您的没有这个选项,请从上面的位址中重新下载一次。
注意:
「费尔木马强力清除助手」有很强的档案删除能力,清除后的档案将无法再还原,所以在清除前一定要确定档案名没有输入错误。
如果您按上面的方法操作后仍然不能成功清除掉木马,则可能是电脑中还存在著另外一个更主要的木马程式或备份,在它被清除后会自动从另外一处还原。这时您需要用防毒软体扫瞄出所有的这些木马,然后逐一或同时清除才行。
三、rootkit 的类型:
我们可将 rootkit 分为两大类
1.Application rootkit - 建立於应用层级
Application rootkit 是最常被拿来使用的 rootkit。攻击者以 rootkit 中的木马程式来替
换系统中正常的应用程式与系统档案。木马程式会提供后门给攻击者并隐藏其踪迹,攻击者做的
任何活动都不会储存在纪录档中。下面列举了一些攻击者可能取代的档案:
‧隐藏攻击者踪迹的程式 -
(1).ls, find, du - 木马程式可以隐藏攻击者档案、欺骗系统,让系统的档案及目录泄露讯息。
(2).ps, top, pidof - 这些程式都是程序监看程式,它们可以让攻击者在进行攻击的过程中,
隐藏攻击者本身的程序。
(3).netstat - netstat 是用来检查网路活动的连结与监听,如开放的通讯埠等等。木马程式
netstat 可以隐藏攻击者的网路活动,例如 ssh daemon 或其他服务。
(4).killall - 木马程式 killall 让管理者无法停止程序。
(5).ifconfig - 当监听软体正在执行时,木马程式 ifconfig 不会显示 PROMISC flag,这样
可以隐藏攻击者,不被监听软体察觉。
(6).crontab - 木马程式 crontab 可以隐藏攻击者的 crontab 进入情况。
(7).tcpd, syslogd - 木马程式 tcpd 与 "syslog" 不会纪录攻击者的行为。
‧后门程式 -
(1).chfn - 提升使用者的权限。执行 chfn,在输入新使用者名称时,只要输入 rootkit 密码
,就可以取得 root 的权限。
(2).chsh - 提升使用者的权限。执行 chsh,在输入新 shell 时,只要输入 rootkit 密码,
就可以取得 root 的权限。
(3).passwd - 提升使用者的权限。执行 passwd,在输入新密码时,只要输入 rootkit 密码,
就可以取得 root 的权限。
(4).login - 能够纪录任何使用者名称,包含 root 登入的密码。
(5).bd2 - 木马程式 rpcbind 允许攻击者在受害主机上执行任意程式码。
‧木马程式程式 -
(1).inetd - 木马程式 inetd 可以替攻击者打开远端登入的通讯埠,只要输入密码就可以取得
root 的权限。
(2).rshd - 替攻击者提供远端的 shell。(范例:rsh [hostname] - l [rootkit password])
(3).rsh - 透过 rsh 可以取得 root 的密码。(范例:rsh [hostname] - l [rootkit password])
(4).sshd -攻击者以特定帐号密码登入就能拥有 root shell 的权限。
‧监听程式 -
(1).linsniffer - linux 小型的监听程式。
(2).sniffchk - 这个程式可以检验与确认网路监听程式是否正在执行。
(3).le - Solaris Ethernet 封包的监听程式。
(4).snif - linux 其他封包的监听程式。
(5).sniff-10mb - 这是一个设计来监听 10mbps Ethernet 的监听程式。
(6).sniff-100mb - 这是一个设计来监听 100mbps Ethernet 的监听程式。
‧其他种类 -
(1).fix - 安装木马程式时 (例如:ls) 更改的时间戳记与检验封包值的讯息。
(2).wted - wtmp 的编辑程式。可让攻击者修改 wtmp。
(3).z2 - 移除 wtmp/utmp/lastlog。
(4).bindshell - 把 rootshell 与某个通讯埠结合在一起。(预设埠号为 31337)
(5).zap3 - 攻击者会从 wtmp, utmp, lastlog, wtmpx 和 utmpx 移除他们的踪迹。zap3 通常
根据下列目录来找寻纪录档的位置,例如 /var/log, /var/adm, /usr/adm, 与 /var/run。
什么是木马病毒?
什么是木马- -
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等
从对基本的地方了解木马
端口
你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑。
黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,你可以利用软件--
如何发现自己电脑中的木马
再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中了netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要--
进一步查找木马
曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。
前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。
扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得--
在硬盘上删除木马
最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。
下面就netbus木马为例讲讲删除的经过。
简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,笔者倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。笔者在自己的电脑中做了这样一个实验,将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。
有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:\WINDOWS\DRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。
好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。
你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。排除了木马以后,你就可以监视端口--
悄悄等待黑客的来临
介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。
木马是什麽?详细症状?解决方法?
目前国内木马病毒共分为五大类别,主要以网络为依托进行病毒传播,偷取用户隐私资料是其主要目的。这些木马病毒多具有引诱性与欺骗性,属于今年病毒新的危害趋势。
2004年中国地区危害最为严重的十种木马病毒数据来源于金山毒霸全球反病毒网络、和金山毒霸全国木马病毒情报站,以及毒霸运营部门和线上反病毒部门联合统计而来。统计时间从2003年12月份至2004年9月。
金山反病毒专家指出,随着家庭数字娱乐行业的迅速普及,宽带化小区、电信在数字通讯网络上建设力度进一步加大,人们的网络应用方向开始扩展;网络游戏、即时通讯聊天、宽带视频等进入寻常百姓家。与此同时,新型病毒开始通过各种网络渗透,呈现了新的传播方式和破坏方式。
电脑病毒频发的特征及原因
病毒分析数据显示,目前电脑病毒多以欺骗手段进行传播,比如MSN病毒,以“想看漂亮视频MM吗”等作为诱导,至使全国接近30万人中了MSN病毒。在十一国庆节前夕,图片病毒突然出现,也是打着美女、色情图片为旗号,造成了新一轮电脑安全隐患。
各种应用系统的漏洞也是造成病毒泛滥的主要原因之一。病毒通过个人电脑的操作系统漏洞进入用户计算机中。特别是今年危害严重的木马病毒,会随着电子邮件、即时通讯工具(MSN、QQ等)、网页浏览等方式感染用户电脑,而多数病毒都是利用了操作系统的漏洞。比如说,系统漏洞就像给了木马病毒一把钥匙,使它能够很轻易在电脑中埋伏下来,而木马病毒又会欺骗用户伪装成“好人”,达到其偷取隐私信息的险恶目的。
从金山反病毒中心三个季度累计数据分析来看,网络蠕虫病毒占了9个月来病毒总数的平均28%以上,而木马病毒占了57%,其它混合型病毒占了15%。总的来看,木马病毒增长非常之快。值得注意的是,混合型病毒给用户制造出了大麻烦。金山毒霸反病毒专家对于各种邮件当中隐藏的木马病毒表示出强烈担忧,因为电子邮件很轻易就会把木马病毒传送到世界上任何一个地方。嵌入式网页木马病毒也成为一种快速的传播渠道,病毒制造者通过诱使用户点击网页链接传播病毒,往往体现在比如邮件、即时通讯消息栏内出现,“这里的美女真多”、“快来看看呀,她(他)已等你很久了…..”再加上一段链接地址。用户如果点击就很可能会中病毒。
相关数据显示,目前木马病毒数量增长非常快,反病毒专家表示现阶段的重点工作是防止木马病毒所造成的社会负面影响。因为,木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今,针对以上各种现象的危害越来越多,木马病毒已成为威胁数字娱乐的大敌。
根据木马病毒的特点与其危害范围,木马病毒又分为以下五大类别:针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。
一、网游木马病毒:2004年,大量针对网络游戏的木马病毒涌现,主要原因是网络游戏产业超高速发展,网上虚拟装备交易非常火爆!然而,一些别有用心的病毒者开始把目光盯在这一安全性比较薄弱的环节,用户如果中了针对网络游戏的木马病毒,它会盗取用户帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者卖出这些盗取的游戏装备而获利。如今,甚至有不怀好意者,干脆以制作木马为职业。
二、网银木马病毒:网银木马专门针对网络银行攻击,采用记录键盘和系统动作的方法盗取网银的帐号和密码,并发送到作者指定的邮件,直接导致用户的经济损失。目前通过网络银行的犯罪行为已经开始出现,今年某一大学生利用网络偷取到网络银行用户60多万人民币,还试图用钱贿赂办案警察,但是其最终受到了法律的严惩。
三、即时通讯木马病毒:可以利用即时通讯工具(比如:QQ、MSN)进行传播。中毒后,可能导致用户的经济损失。中了木马后电脑会下载病毒作者指的任意程序,其危害不可确定。会造成恶作剧,比如“MSN我要结婚”病毒,中毒者会向联系人发送“我今天要结婚”的恶作剧消息。
四、后门木马病毒: 在网络中被恶意者大量传播。病毒本身不具有传播的功能,都是被恶意者种植。该木马病毒采用反弹端口技术绕过防火墙,对被感染的系统进行远程文件和注册表的操作,可以捕获被控制的电脑的屏幕, 可远程重启和关闭计算机, 可以禁用系统热键和注册表编辑器,中了该木马后,被感染的系统将完全暴露于黑客手中。
五、广告木马病毒:此类木马采用各种技术隐藏于系统内,修改IE等网页浏览器的主页,禁多种系统功能,收集系统信息发送给传播广告木马的网站。更恶毒的是修改网页定向,导致一些正常的网站不能登录。最近闹的沸沸扬扬的MSN病毒就是这种木马病毒,它诱使点击一个可执行文件导致了937个网站不能正常访问。
该分析认为,这五大类木马病毒构成了木马的主要类别,其中,网游木马病毒占到木马病毒总数的32%以上,网银木马占到7%,即时通讯木马占了23%,广告木马占了24%,后门木马占了14%。从危害极别来看,网游木马危害最为严重,其次是广告木马也包含恶作剧程序,再次是即时通讯木马,接下来危害也比较大的是后门木马病毒,排在最后一位的是网银木马。
危害最为严重的木马病毒如下:
QQ 狩猎者(Troj.QQmsg)
网银大盗A(Troj.KeyLog.a)
MSN小尾巴(Worm.MSNFunny)(注:MSN小尾巴同时具有蠕虫和木马特点)
传奇男孩(Troj.MirBoy)
剑侠幽灵(Troj.JXGhost.a)
安哥(Hack.AgoBot)
灰鸽子(Hack.Huigezi
蜜峰大盗(Troj.Mifeng)
黑洞 (Hack.BlackHole、Hack.HeiDong)
记事本幽灵(Win32.Troj.Axela.w)
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。 保存退出system.ini 打开win.ini文件
在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名,必须把它删除。 正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。 保存退出win.ini。 OK
7. AttackFTP 清除木马的步骤: 打开win.ini文件 在[WINDOWS]下面有load=wscan.exe 删除wscan.exe
,正确是load= 保存退出win.ini。 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s" 关闭Regedit,重新启动到MSDOS系统中 删除C:\windows\system\
wscan.exe OK
8. Back Construction 1.0 - 2.5 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl32.exe" 关闭Regedit,重新启动到MSDOS系统中 删除C:\WINDOWS\Cmctl32.exe OK
9. BackDoor v2.00 - v2.03 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的'c:\windows\notpa.exe /o=yes' 关闭Regedit,重新启动到MSDOS系统中
删除c:\windows\notpa.exe 注意:不要删除真正的notepad.exe笔记本程序 OK
10. BF Evolution v5.3.12 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的(Default)=" " 关闭Regedit,再次重新启动计算机。 将C:\windows\system\ .exe(空格exe文件) OK
11. BioNet v0.84 - 0.92 + 2.21 0.8X版本是运行在Win95/98 0.9X以上版本有运行在Win95/98
和WinNT上两个软件 客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑 NT被感染的系统完全一样。
清除木马的步骤: 首先准备一张98的启动盘,用它启动后,进入c:\windows目录下,用attrib libupd~1. exe -h
命令让木马程序可见,然后删除它。 抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
的子键WinLibUpdate = "c:\windows\libupdate.exe -hide" 将此子键删除。
12. Bla v1.0 - 5.03 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Systemdoor
= "C:\WINDOWS\System\mprdll.exe" 关闭Regedit,重新启动计算机。
查找到C:\WINDOWS\System\mprdll.exe和 C:\WINDOWS\system\rundll.exe
注意:不要删除C:\WINDOWS\RUNDLL.EXE正确文件。 并删除两个文件。 OK
13. BladeRunner 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 可以找到System-Tray
= "c:\something\something.exe" 右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要
的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。 重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。
14. Bobo v1.0 - 2.0 清除木马v1.0 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe" 关闭Regedit,重新启动计算机。
DEL C:\Windows\System\Dllclient.exe OK 清除木马v2.0 打开注册表Regedit 点击目录至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/ ICQ
3 100种木马的手工清除方法
Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。 重新启动计算机。OK
15. BrainSpy vBeta 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 右边有 ??? =
"C:\WINDOWS\system\BRAINSPY .exe" ???标签选是随意改变的。 关闭Regedit,重新启动计算机
查找删除C:\WINDOWS\system\BRAINSPY .exe OK
16. Cain and Abel v1.50 - 1.51 这是一个口令木马 进入MS-DOS方式 查找到C:\windows\msabel32.exe
并删除它。OK
17. Canasson 清除木马的步骤: 打开WIN.INI文件 查找c:\msie5.exe,删除全部主键 保存win.ini 重新启动计算机
删除c:\msie5.exe木马文件 OK
18. Chupachbra 清除木马的步骤: 打开WIN.INI文件 [Windows]的下面有两个行 run=winprot.exe
load=winprot.exe 删除winprot.exe run= load= 保存Win.ini,再打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的'System
Protect' = winprot.exe 重新启动Windows 查找到C:\windows\system\ winprot.exe,并删除。 OK
19. Coma v1.09 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的'RunTime'
= C:\windows\msgsrv36.exe 重新启动Windows 查找到C:\windows\ msgsrv36.exe,并删除。 OK
20. Control 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的Load MSchv
Drv = C:\windows\system\MSchv.exe 保存Regedit,重新启动Windows
查找到C:\windows\system\MSchv.exe,并删除。 OK
21. Dark Shadow 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices
删除右边的winfunctions="winfunctions.exe" 保存Regedit,重新启动Windows 查找到C:\windows\system\ winfunctions.exe,并删除。 OK
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay) 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 版本1.0
删除右边的项目'System32'=c:\windows\system32.exe 版本2.0-3.1 删除右边的项目'SystemTray' =
'Systray.exe' 保存Regedit,重新启动Windows 版本1.0删除c:\windows\system32.exe 版本2.0-3.1
删除c:\windows\system\systray.exe OK
23. Delta Source v0.5 - 0.7 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的项目:DS
admin tool = C:\TEMPSERVER.exe 保存Regedit,重新启动Windows 查找到C:\TEMPSERVER.exe,并删除它。 OK
24. Der Spaeher v3 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的项目:explore
= "c:\windows\system\dkbdll.exe " 保存Regedit,重新启动Windows
删除c:\windows\system\dkbdll.exe木马文件。 OK --
25. Doly v1.1 - v1.7 (SE) 清除木马V1.1-V1.5版本:
这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。 把下列各项全部删除:
C:\WINDOWS\SYSTEM\tesk.sys C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
c:\Program Files\MStesk.exe c:\Program Files\Mdm.exe 重新启动Windows。 接着,打开win.ini文件
--------
4 100种木马的手工清除方法
找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目,删除路径,改变为load= 保存win.ini文件。
最后,修改注册表Regedit 找到以下两个项目并删除它们
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Ms tesk =
"C:\Program Files\MStesk.exe" 和
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run Ms tesk =
"C:\Program Files\MStesk.exe"
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。 关闭保存Regedit。 还有打开C:\AUTOEXEC.BAT文件,删除 @echo
off copy c:\sys.lon c:\windows\StartMenu\Startup Items\ del c:\win.reg
关闭保存autoexec.bat。 OK
清除木马V1.6版本: 该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下: 1.打开控制面板——添加删除程序——删除memory
manager 3.0,这就是木马程序,但 是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:\,编辑AUTOEXEC。BAT,把如下内容 删除: @echo off copy
c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe del c:\win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:\根目录下删除木马文件: del sys.lon del
windows\startm~1\programs\startup\mdm.exe del progra~1\mdm.exe
3.抽出软盘重新启动,进入98后,把c:\program files\目录下的memory manager 目录 删除。 清除木马V1.7版本:
首先,打开C:\AUTOEXEC.BAT文件,删除 @echo off copy c:\sys.lon
c:\windows\startm~1\programs\startup\mdm.exe del c:\win.reg 关闭保存autoexec.bat
然后打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路径并删除这个项目 点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:\windows\system\kernal32.exe"路径并删除这个项目 关闭保存Regedit。重新启动Windows。
最后,删除以下木马程序: c:\sys.lon c:\iecookie.exe c:\windows\start
menu\programs\startup\mdm.exe c:\program files\mdm.exe c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe 注意:kernal32是A OK
75. Revenger v1.0 - 1.5 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:AppName ="C:\...\server.exe" 关闭保存Regedit,重新启动Windows
在c:\windows查找相应的木马程序server.exe,并删除 OK
76. Ripper 清除木马的步骤: 打开system.ini文件 将shell=explorer.exe sysrunt.exe 改为shell=
explorer.exe 关闭保存system.ini,重新启动Windows 在c:\windows查找相应的木马程序sysrunt.exe,并删除 OK
77. Satans Back Door v1.0 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:sysprot protection ="C:\windows\sysprot.exe" 关闭保存Regedit,重新启动Windows
删除C:\windows\sysprot.exe OK
78. Schwindler v1.82 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:User.exe = "C:\WINDOWS\User.exe" 关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\User.exe OK
79. Setup Trojan (Sshare) +Mod Small Share 这个共享隐藏C盘的木马 清除木马的步骤: 打开注册表Regedit
也可以用杀毒软件杀除
什么是木马病毒
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
如何用木马病毒盗取他人信息???
它是样盗取的!你中了木马的服务端后,木马服务端就会在你的电脑上开端口(也就是所说的后门),等待远程的客户端的主到连接(这是主到连接式木马,但这种木马不好,如果你开防火墙了,他可以就连接不到你,因为它在连接你的时候,防火墙会向你寻问是否允许连接),还有一种是反弹式木马,服务端运行后会主动去连接客户端,一但连接上了客户端(也就是制作这个木马的人的电脑),那他就能通过一些“益出”漏洞什么的,拿到你电脑的一定权限,然后再通过一些提权的方法,最终在你的电脑上建个管理账号,就能远程控制你的电脑,通过一些命令,如xcopy等或架设个小型ftp服务器把你的文件烤到自己的电脑上,或在你的电脑上看!
也有一些木马能记录你键盘输入的口令,并自动发送到指定邮箱或空间!这样你的信息就被盗走了!
Do You Know?