黑客技术群

关于特洛伊木马病毒

木马病毒(特洛伊 后门等)一般情况下都比较顽固，常规模式下不好清除。(容易隐藏病毒文件 容易与其他系统文件关联，以DLL注入或者系统关键进程注入等方式发作等)

首先重启电脑，进入安全模式，再启动你的杀毒软件扫描一遍就可以了。

安全模式：启动的时候按住 F8 键，出现选择的时候 选“进入安全模式”

可以试试下面几款,因为都是免安装的绿色版本

,不用担心冲突问题,不可能冲突,且都能升级的

顶级木马间谍查杀软件应该是Spy Emergency了

Spy Emergency2005 （一款顶级木马间谍查杀软件）2.0.320 汉化版 下载：http://www.e666.cn/Software/Catalog102/2367.html

专杀木马的应该是木马克星

木马克星iparmor V5.50 Build 2206清爽去广告增强版下载：

http://www.e666.cn/Software/Catalog101/2249.html

还有就是木马分析专家也不错

木马分析专家2006 V7.09 特别版＆02月06日木马库下载：

http://www.e666.cn/Software/Catalog101/1744.html

木马杀客 5.2 绿色特别版 Build 0120 （更新02月21日病毒库）

http://www.e666.cn/Software/Catalog101/1751.html

Autoruns (查木马病毒解决系统启动太慢的工具)v8.43 汉化修正版

http://www.e666.cn/Software/Catalog30/2124.html

推荐采用功能强大的木马专杀工具：ewido （这是目前非常有效、强大的反木马工具，玩马者的克星）

这是绿色版，网站里面也有安装版，随你选择

http://www.orsoon.com/Software/catalog184/2727.html

特洛伊木马病毒是什么

木马病毒一般情况下，杀毒软件只要能告诉你木马病毒的名称，肯定就能识别并删除，只是要注意方式方法。原因：木马病毒(特洛伊后门等)一般情况下都比较顽固，常规模式下不好清除。(容易隐藏病毒文件容易与其他系统文件关联，以DLL注入或者系统关键进程注入等方式发作等)方法：首先重启电脑，进入安全模式，再启动你的杀毒软件扫描一遍就可以了。安全模式：启动的时候按住F8键，出现选择的时候选“进入安全模式”杀毒前关闭系统还原：右键我的电脑，属性，系统还原，在所有驱动器上关闭系统还原打勾即可。

特洛伊木马病毒

病毒名称：

Trojan-PSW.Win32.OnLineGames.jbo

病毒类型：

木马类

文件

MD5：

1B414FF11AD77F8D2C1740AECFDD5E0A

公开范围：

完全公开

危害等级：

3

文件长度：

17,408

字节

感染系统：

Windows98以上版本

工具：

Microsoft

Visual

C++

6.0

加壳类型：无

二、病毒描述：

该病毒为木马类，病毒运行后，复制自身到系统目录下，病毒文件，以批处理文件删除自身。

添加启动项，以达到随机启动的目的。该病毒由于已出现大量的生成机，因此生成一个同种病毒特别容易，这也使其大量的被生成，再加互联网的快速传播，使其在中国大陆已形成了一个木马分支――网游盗号木马类；可以盗取用户帐号

号与密码。

三、行为分析：

1、

文件运行后会释放以下文件

%WINDIR%\cmdbcs.exe

%system32%\cmdbcs.dll

2、

新建注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]

注册表值："

cmdbcs

"

类型：

REG_SZ

值：

"

C:\WINDOWS\cmdbcs.exe

"

描述：添加启动项，以达到随机启动的目的

3、释放cmdbcs.dll进驻内存，尝试插入下列进程中：

EXPLORER.EXE

IEXPLORER.EXE

应用程序进程

4、cmdbcs.dll插入进程后可以访问该进程资源，记录该进程中的敏感资料；例如帐号与密码

5、检测窗口标题为AVP的窗体，瑞星的警告窗体，如果检测到则关闭。当病毒添加注册表启动项时，如果弹出瑞星注册表监控，则自动允许并关闭监控窗体。具有反查杀能力。

注释：

%Windir%

WINDODWS所在目录

%DriveLetter%

逻辑驱动器根目录

%ProgramFiles%系统程序默认安装目录

%HomeDrive%

当前启动系统所在分区

%Documents

and

Settings%

当前用户文档根目录

%Temp%

当前用户TEMP缓存变量；路径为：

%Documents

and

Settings%\当前用户\Local

Settings\Temp

%System32%

是一个可变路径；

病毒通过查询操作系统来决定当前System32文件夹的位置；

Windows2000/NT中默认的安装路径是　C:\Winnt\System32；

Windows95/98/Me中默认的安装路径是　C:\Windows\System；

WindowsXP中默认的安装路径是　C:\Windows\System32。

四、

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：

www.antiy.com

。

2、手工清除请按照行为

分析除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址:

www.antiy.com

或

http://www.antiy.com/download/index.htm

。

(1)

使用安天木马防线或ATool中的“进程管理”关闭病毒进程

强行卸载cmdbcs.dll

(2)

强行删除病毒文件

%WINDIR%\cmdbcs.exe

%system32%\cmdbcs.dll

(3)

恢复病毒修改的注册表项目，删除病毒添加的注册表项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]

注册表值："

cmdbcs

"

类型：

REG_SZ

值：

"

C:\WINDOWS\cmdbcs.exe

"

什么是特洛伊木马？

特洛伊木马是在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，特洛伊沦陷。

特洛伊木马故事插图

制造http://image.baidu.com/i?ct=503316480z=0tn=baiduimagedetailword=%CC%D8%C2%E5%D2%C1%C4%BE%C2%EDin=31188cl=2cm=1sc=0lm=-1pn=64rn=1di=1443097200ln=884

进城http://image.baidu.com/i?ct=503316480z=0tn=baiduimagedetailword=%CC%D8%C2%E5%D2%C1%D5%BD%D5%F9in=25168cl=2cm=1sc=0lm=-1pn=31rn=1di=2272554328ln=97

屠杀http://image.baidu.com/i?ct=503316480z=0tn=baiduimagedetailword=%CC%D8%C2%E5%D2%C1%D5%BD%D5%F9in=24572cl=2cm=1sc=0lm=-1pn=61rn=1di=237135372ln=97

胜利http://image.baidu.com/i?ct=503316480z=0tn=baiduimagedetailword=%CC%D8%C2%E5%D2%C1%D5%BD%D5%F9in=21593cl=2cm=1sc=0lm=-1pn=17rn=1di=1421266620ln=97

特洛伊木马病毒是什么?

特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。

大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。

服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。

特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到网络要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的攻击者早就溜之大吉。