木马病毒最终结果（木马病毒?）-黑客技术群

虽说有区别，不过这些区别只是理论定义上的。木马制造者可不会因为定义上说木马不破坏计算机，他就不制造破坏计算机的木马。而且事实上现在确实有这种木马了，这种木马其实是木马和病毒的混合体，同样的，也有蠕虫与病毒的混合体。还有后门、木马、病毒形成一个自动下载发作的程序链协同作战的。所以这些区别仅仅做个了解即可，他们之间的界限正在慢慢模糊～

至于代表事件

传统的计算机病毒分类是根据感染型态来区分，以下为各类型简介：

• 开机型

米开朗基罗病毒，潜伏一年，"硬"是要得（这个没看懂）

• 文件型

(1)非常驻型

Datacrime II 资料杀手-低阶格式化硬盘，高度破坏资料

(2)常驻型

Friday 13th黑色（13号）星期五-"亮"出底细

• 复合型

Flip 翻转-下午4：00 屏幕倒立表演准时开始

• 隐形飞机型

FRODO VIRUS(福禄多病毒)-"毒"钟文件配置表

• 千面人

PE_MARBURG -掀起全球"战争游戏"

• 文件宏

Taiwan NO.1 文件宏病毒-数学能力大考验

• 特洛伊木马病毒 VS.计算机蠕虫

" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力

• 黑客型病毒

Nimda 走后门、发黑色信件、瘫痪网络

认识计算机病毒与黑客

2.1开机型病毒 (Boot Strap Sector Virus):

开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力进行传染与破坏。＠实例

Michelangelo米开朗基罗病毒-潜伏一年，"硬"是要得

发病日： 3月6日

发现日：1991.3

产地：瑞典（也有一说为台湾）

病征：米开朗基罗是一只典型的开机型病毒，最擅长侵入计算机硬盘机的硬盘分割区（Partition Table）和开机区（Boot Sector），以及软盘的开机区（Boot Sector），而且它会常驻在计算机系统的内存中，虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径，事实上只有一种，那就是使用不当的磁盘开机，如果该磁盘正好感染了米开朗基罗，于是，不管是不是成功的开机，可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘，平常看起来计算机都颇正常的，一到3月6日使用者一开机若出现黑画面，那表示硬盘资料已经跟你说 Bye Bye 了。

历史意义：文件宏病毒发迹前，连续数年蝉联破坏力最强的毒王宝座

Top

2.2文件型病毒 (File Infector Virus):

文件型病毒通常寄生在可执行文件(如 *.COM, *.EXE等)中。当这些文件被执行时, 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种 :

(1) 非常驻型病毒(Non-memory Resident Virus) :

非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。当这些中毒的程序被执行时，就会尝试去传染给另一个或多个文件。

@实例：

Datacrime II 资料杀手-低阶格式化硬盘，高度破坏资料

发病日：10月12日起至12月31日

发现日：1989.3

产地：荷兰

病征：每年10月12日到12月31号之间，除了星期一之外DATA CRIME II 会在屏幕上显示：*DATA CRIME II VIRUS*

然后低阶格式化硬盘第0号磁柱 (CYLINDER0从HEAD 0~HEAD 8)FORMAT后，会听到BEEP一声当机，从此一蹶不振。

历史意义：虽然声称为杀手，但它已经快绝迹了

(2) 常驻型病毒(Memory Resident Virus) :

常驻型病毒躲在内存中，其行为就好象是寄生在各类的低阶功能一般(如 Interrupts)，由于这个原因, 常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中, 只要执行文件被执行, 它就对其进行感染的动作, 其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。

@实例：

Friday 13th黑色（13号）星期五-"亮"出底细

发病日：每逢13号星期五

发现日：1987

产地：南非

病征：十三号星期五来临时，黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快，其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着。十三号星期五病毒登记有案的变种病毒，如：Edge、Friday 13th-540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B等...。其感染的本质几乎大同小异，其中Friday 13th-C病毒，当它进行感染文件时，屏幕上会显示一行客套语："We hope we haven''t inconvenienced you"

历史意义：为13号星期五的传说添加更多黑色成分

Top

2.3复合型病毒 (Multi-Partite Virus):

复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染 *.COM, *.EXE 文件，也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性, 使得这种病毒具有相当程度的传染力。一旦发病，其破坏的程度将会非常可观！

＠实例:

Flip 翻转-下午4：00 屏幕倒立表演准时开始

发病日：每月2日

发现日：1990.7

产地：瑞士(也有一说为西德)

病征：每个月 2 号，如果使用被寄生的磁盘或硬盘开机时，则在16 时至16时59分之间，屏幕会呈水平翻动。

历史意义：第一只使具有特异功能的病毒

Top

2.4隐型飞机式病毒 (Stealth Virus):

隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义, 它通过控制DOS的中断向量，把所有受其感染的文件"假还原"，再把"看似跟原来一模一样"的文件丢回给 DOS。

@实例

FRODO 福禄多 -"毒"钟文件配置表

别名：4096

发现日：1990.1

发病日：9月22日-12月31日

产地：以色列

病征：4096病毒最喜欢感染.COM, .EXE和.OVL文件，顾名思义被感染的文件长度都会增加4,096 bytes。它会感染资料文件和执行文件(包括：COM、.EXE)和.OVL等覆盖文件。当执行被感染的文件时，会发现速度慢很多，因为FAT (文件配置表) 已经被破坏了。此外，9月22日-12月31日会导致系统当机。

历史意义：即使你用DIR 指令检查感染文件，其长度、日期都没有改变，果真是伪装秀的始祖。

Top

2.5千面人病毒 (Polymorphic/Mutation Virus):

千面人病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说，无疑是一个严重的考验！有些高竿的千面人病毒，几乎无法找到相同的病毒码。

＠实例

PE_MARBURG -掀起全球"战争游戏"

发病日：不一定（中毒后的3个月）

发现日：1998.8

产地：英国

病征：Marburg 病毒在被感染三个月后才会发作，若感染 Marburg 病毒的应用软件执行的时间刚好和最初感染的时间一样 (例如,中毒时间是9月15日上午11点，若该应用程序在12月15日上午11点再次被执行)，则 Marburg 病毒就会在屏幕上显示一堆的 "X"。如附图。

历史意义：专挑盛行的计算机光盘游戏下毒，1998年最受欢迎的 MGM/EA「战争游戏」，因其中有一个文件意外地感染 Marburg 病毒，而在8 月迅速扩散。

感染 PE_ Marburg 病毒后的 3 个月，即会在桌面上出现一堆任意排序的 "X" 符号

2.6宏病毒 (Macro Virus):

宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。

＠实例：

Taiwan NO.1 文件宏病毒- 数学能力大考验

发病日：每月13日

发现日：1996.2

产地：台湾

病征：出现连计算机都难以计算的数学乘法题目，并要求输入正确答案,一旦答错，则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。

历史意义：1.台湾本土地一只文件宏病毒。2. 1996年年度杀手，1997年三月踢下米开朗基罗，登上毒王宝座。3. 被列入ICSA（国际计算机安全协会）「In The Wild」病毒数据库。（凡难以驯服、恶性重大者皆会列入此黑名单）

2.7特洛伊木马病毒 VS.计算机蠕虫

特洛依木马（ Trojan ）和计算机蠕虫（ Worm ）之间，有某种程度上的依附关系，有愈来愈多的病毒同时结合这两种病毒型态的破坏力，达到双倍的破坏能力。

特洛伊木马程序的伪装术

特洛依木马（ Trojan ）病毒是近年崛起的新品种，为帮助各位读者了解这类病毒的真面目，我们先来看一段「木马屠城记」的小故事：

话说风流的特洛伊王子，在遇上美丽的有夫之妇希腊皇后后，竟无法自拔的将其诱拐回特洛伊国，此举竟引发了为期十年的特洛依大战。然而，这场历经九年的大战，为何在最后一年会竟终结在一只木马上呢？原来，眼见特洛伊城久攻不下，于是希腊人便特制了一匹巨大的木马，打算来个"木马屠城计"！希腊人在木马中精心安排了一批视死如归的勇士，借故战败撤退，以便诱敌上勾。果然，被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计，当晚便把木马拉进城中，打算来个欢天喜地的庆功宴。哪知道，就在大家兴高采烈喝酒欢庆之际，木马中的精锐诸将，早已暗中打开城门，一举来个里应外合的大抢攻。顿时之间，一个美丽的城市就变成了一堆瓦砾、焦土，而从此消失在历史中。

后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行，并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序，我们便称之为「特洛伊木马型」或「特洛伊型」病毒。

特洛伊木马程序不像传统的计算机病毒一样会感染其它文件，特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中，然后伺机执行其恶意行为，例如格式化碟、删除文件、窃取密码等。

计算机蠕虫在网络中匍匐前进

计算机蠕虫大家过去可能比较陌生，不过近年来应该常常听到，顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机网络中爬行，从一台计算机爬到另外一台计算机，方法有很多种例如透过局域网络或是 E-mail.最著名的计算机蠕虫案例就是" ILOVEYOU-爱情虫 "。例如：" MELISSA-梅莉莎" 便是结合"计算机病毒"及"计算机蠕虫"的两项特性。该恶性程序不但会感染 Word 的 Normal.dot（此为计算机病毒特性），而且会通过 Outlook E-mail 大量散播（此为计算机蠕虫特性）。

事实上，在真实世界中单一型态的恶性程序其实愈来愈少了，许多恶性程序不但具有传统病毒的特性，更结合了"特洛伊木马程序"、"计算机蠕虫"型态来造成更大的影响力。一个耳熟能详的案例是"探险虫"（ExploreZip）。探险虫会覆盖掉在局域网络上远程计算机中的重要文件（此为特洛伊木马程序特性），并且会透过局域网络将自己安装到远程计算机上（此为计算机蠕虫特性）。

＠实例：

" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力

发病日：不一定

发现日：1999.6.14

产地：以色列

病征：通过电子邮件系统传播的特洛依病毒，与梅莉莎不同之处是这只病毒除了会传播之外，还具有破坏性。计算机受到感染后，其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下，自动将这个病毒"zipped_files.exe"以电子邮件的附件的方式寄给送信给这部计算机的用户。对方收到的信件内容如下：Hi Recipient Name!I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.问候语也有可能是Bye, Sincerely, All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时，这只病毒会出现如下的假信息"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."一旦使用者执行了这个病毒，它会存取使用者的C:到Z:磁盘驱动器，寻找以下扩展名的文件，并将所找到的文件以0来填空。造成使用者资料的损失。.c (c source code files).cpp (c++ source code files).h (program header files).asm (assembly source code).doc (Microsoft Word).xls (Microsoft Excel).ppt (Microsoft PowerPoint)

历史意义：

• 开机后再生，即刻连锁破坏

--传统病毒：立刻关机，重新开机，停止它正进行的破坏行动--探险虫：不似传统病毒，一旦重新开机，即寻找网络上的下个受害者

2.8 黑客型病毒

-走后门、发黑色信件、瘫痪网络

自从 2001七月 CodeRed红色警戒利用 IIS 漏洞，揭开黑客与病毒并肩作战的攻击模式以来，CodeRed 在病毒史上的地位，就如同第一只病毒 Brain 一样，具有难以抹灭的历史意义。

如同网络安全专家预料的，CodeRed 将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖，日后的病毒将以其为样本，变本加厉地在网络上展开新型态的攻击行为。果不其然，在造成全球 26.2 亿美金的损失后，不到 2 个月同样攻击 IIS 漏洞的Nimda 病毒，其破坏指数却远高于 CodeRed。 Nimda 反传统的攻击模式，不仅考验着 MIS 人员的应变能力，更使得传统的防毒软件面临更高的挑战。

继红色代码之后，出现一只全新攻击模式的新病毒，透过相当罕见的多重感染管道在网络上大量散播，包含：电子邮件、网络资源共享、微软IIS服务器的安全漏洞等等。由于 Nimda 的感染管道相当多，病毒入口多，相对的清除工作也相当费事。尤其是下载微软的 Patch，无法自动执行，必须每一台计算机逐一执行，容易失去抢救的时效。

每一台中了Nimda 的计算机，都会自动扫描网络上符合身份的受害目标，因此常造成网络带宽被占据，形成无限循环的 DoS阻断式攻击。另外，若该台计算机先前曾遭受 CodeRed 植入后门程序，那么两相挂勾的结果，将导致黑客为所欲为地进入受害者计算机，进而以此为中继站对其它计算机发动攻势。

类似Nimda威胁网络安全的新型态病毒，将会是 MIS 人员最大的挑战。"

实例：Nimda

发现日：2001.9

发病日：随时随地

产地：不详

病征：通过eMail、网络芳邻、程序安全漏洞，以每 15 秒一次的攻击频率，袭击数以万计的计算机，在 24 小时内窜升为全球感染率第一的病毒

历史意义：

计算机病毒与黑客并肩挑衅，首创猛爆型感染先例，不需通过潜伏期一台计算机一台计算机感染，瞬间让网络上的计算机几乎零时差地被病毒攻击

认识计算机病毒与黑客

防止计算机黑客的入侵方式，最熟悉的就是装置「防火墙」(Firewall)，这是一套专门放在 Internet 大门口 (Gateway) 的身份认证系统，其目的是用来隔离 Internet 外面的计算机与企业内部的局域网络，任何不受欢迎的使用者都无法通过防火墙而进入内部网络。有如机场入境关口的海关人员，必须核对身份一样，身份不合者，则谢绝进入。否则，一旦让恐怖份子进入国境破坏治安，要再发布通缉令逮捕，可就大费周章了。

一般而言，计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事，所以黑客们通常就会用采用另一种迂回战术，直接窃取使用者的帐号及密码，如此一来便可以名正言顺的进入企业内部。而 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞，大肆为所欲为。

--宽带大开方便之门

CodeRed 能在短时间内造成亚洲、美国等地 36 万计算机主机受害的事件，其中之一的关键因素是宽带网络（Broadband）的"always-on" (固接，即二十四小时联机)特性特性所打开的方便之门。

宽带上网，主要是指 Cable modem 与 xDSL这两种技术，它们的共同特性，不单在于所提供的带宽远较传统的电话拨接为大，同时也让二十四小时固接上网变得更加便宜。事实上，这两种技术的在本质上就是持续联机的，在线路两端的计算机随时可以互相沟通。

当 CodeRed 在 Internet 寻找下一部服务器作为攻击发起中心时，前提必须在该计算机联机状态方可产生作用，而无任何保护措施的宽还用户，"雀屏中选"的机率便大幅提升了。

当我们期望Broadband（宽带网络）能让我们外出时仍可随时连上家用计算机，甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时，同样的，黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水，黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾，有效地阻止黑客与病毒的觊觎，才能开启宽带网络的美丽新世界。

计算机及网络家电镇日处于always-on的状态，也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代，家庭用户对黑客而言就像是一个移动的目标，非常难以锁定，如果黑客想攻击的目标没有拨接上网络，那幺再厉害的黑客也是一筹莫展，只能苦苦等候。相对的，宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会，而较大的带宽不但提供家庭用户更宽广的进出渠道，也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事（见表一），然而 CodeRed却改写了这个的定律，过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵，但CodeRed却以病毒大规模感染的手法，瞬间即可植入后门程序，更加暴露了网络安全的严重问题

木马病毒最终结果

木马病毒被成为特洛伊木马

木马和病毒同为恶意代码。

木马又称为特洛伊木马，是具有远程控制功能，不易被傀儡机发现的程序。主控端通过控制被控端，可以盗取用户帐号，密码等资料，甚至完全控制客户端。

病毒为可以自我复制的一段恶意代码，往往对染毒机器造成损害。蠕虫是病毒的一种，表现为通过网络自动传播。

两者概念都不一样。更没有木马病毒的说法。

不过有些恶意代码同时具有病毒和木马的特征。

木马和病毒有什么区别？谁有病毒排行榜资料？

06上半年十大病毒排行榜出炉灰鸽子成毒王

http://tech.163.com/06/0710/18/2LML9LQ6000917GF.html

自从第一个计算机病毒爆发以来，已经过去了20年左右的时间。《InformationWeek》最近评出了迄今为止破坏程度最为严重的十大病毒。

上个世纪80年代上半期，计算机病毒只是存在于实验室中。尽管也有一些病毒传播了出去，但绝大多数都被研究人员严格地控制在了实验室中。随后，“大脑” (Brain)病毒出现了。1986年年初，人们发现了这种计算机病毒，它是第一个PC病毒，也是能够自我复制的软件，并通过5.2英寸的软盘进行广泛传播。按照今天的标准来衡量，Brain的传播速度几乎是缓慢地爬行，但是无论如何，它也称得上是我们目前为之困扰的更有害的病毒、蠕虫和恶意软件的鼻祖。下面就是这20年来计算机病毒发展的历史。

CIH

估计损失：全球约2,000万~8,000万美元，计算机的数据损失没有统计在内。

CIH病毒1998年6月爆发于中国台湾，是公认的有史以来危险程度最高、破坏强度最大的病毒之一。

CIH感染Windows 95/98/ME等操作系统的可执行文件，能够驻留在计算机内存中，并据此继续感染其他可执行文件。

CIH的危险之处在于，一旦被激活，它可以覆盖主机硬盘上的数据并导致硬盘失效。它还具备覆盖主机BIOS芯片的能力，从而使计算机引导失败。由于能够感染可执行文件，CIH更是借众多软件分销商之力大行其道，其中就包括Activision游戏公司一款名为“原罪”(Sin)游戏的演示版。

CIH一些变种的触发日期恰好是切尔诺贝利核电站事故发生之日，因此它也被称为切尔诺贝利病毒。但它不会感染Windows 2000/XP/NT等操作系统，如今，CIH已经不是什么严重威胁了。

梅利莎(Melissa)

损失估计：全球约3亿~6亿美元

1999年3月26日，星期五，W97M/梅利莎登上了全球各地报纸的头版。估计数字显示，这个Word宏脚本病毒感染了全球15%~20%的商用 PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft，下称微软)、以及其他许多使用Outlook软件的公司措手不及，为了防止损害，他们被迫关闭整个电子邮件系统。

梅利莎通过微软的Outlook电子邮件软件，向用户通讯簿名单中的50位联系人发送邮件来传播自身。

该邮件包含以下这句话：“这就是你请求的文档，不要给别人看”，此外夹带一个Word文档附件。而单击这个文件(成千上万毫无疑虑的用户都是这么做的)，就会使病毒感染主机并且重复自我复制。

更加令人恼火的事情还在后头——一旦被激活，病毒就用动画片《辛普森一家》(The Simpsons)的台词修改用户的Word文档。

我爱你(ILOVEYOU)

损失估计：全球约100亿~150亿美元

又称情书或爱虫。它是一个Visual Basic脚本，设计精妙，还有令人难以抗拒的诱饵——爱的诺言。

2000年5月3日，“我爱你”蠕虫病毒首次在香港被发现。

“我爱你”蠕虫病毒病毒通过一封标题为“我爱你(ILOVEYOU)”、附件名称为“Love-Letter-For-You.TXT.vbs”的邮件进行传输。和梅利莎类似，病毒也向Microsoft Outlook通讯簿中的联系人发送自身。

它还大肆复制自身覆盖音乐和图片文件。更可气的是，它还会在受到感染的机器上搜索用户的账号和密码，并发送给病毒作者。

由于当时菲律宾并无制裁编写病毒程序的法律，“我爱你”病毒的作者因此逃过一劫。

红色代码(Code Red)

损失估计：全球约26亿美元

“红色代码”是一种计算机蠕虫病毒，能够通过网络服务器和互联网进行传播。2001年7月13日，红色代码从网络服务器上传播开来。它是专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。极具讽刺意味的是，在此之前的六月中旬，微软曾经发布了一个补丁，来修补这个漏洞。

“红色代码”还被称为Bady，设计者蓄意进行最大程度的破坏。被它感染后，遭受攻击的主机所控制的网络站点上会显示这样的信息：“你好！欢迎光临 www.worm.com！”。随后，病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天，之后它便对某些特定IP地址发起拒绝服务 (DoS)攻击。在短短不到一周的时间内，这个病毒感染了近40万台服务器，据估计多达100万台计算机受到感染。

SQL Slammer

损失估计：由于SQL Slammer爆发的日期是星期六，破坏所造成的金钱损失并不大。尽管如此，它仍然冲击了全球约50万台服务器，韩国的在线能力瘫痪长达12小时。

SQL Slammer也被称为“蓝宝石”(Sapphire)，2003年1月25日首次出现。它是一个非同寻常的蠕虫病毒，给互联网的流量造成了显而易见的负面影响。有意思的是，它的目标并非终端计算机用户，而是服务器。它是一个单包的、长度为376字节的蠕虫病毒，它随机产生IP地址，并向这些IP地址发送自身。如果某个IP地址恰好是一台运行着未打补丁的微软SQL服务器桌面引擎(SQL Server Desktop Engine)软件的计算机，它也会迅速开始向随机IP地址的主机开火，发射病毒。

正是运用这种效果显著的传播方式，SQL Slammer在十分钟之内感染了7.5万台计算机。庞大的数据流量令全球的路由器不堪重负，如此循环往复，更高的请求被发往更多的路由器，导致它们一个个被关闭。

冲击波(Blaster)

损失估计：20亿~100亿美元，受到感染的计算机不计其数。

对于依赖计算机运行的商业领域而言，2003年夏天是一个艰难的时期。一波未平，一波又起。IT人士在此期间受到了“冲击波”和“霸王虫”蠕虫的双面夹击。“冲击波”(又称“Lovsan”或“MSBlast”)首先发起攻击。病毒最早于当年8月11日被检测出来并迅速传播，两天之内就达到了攻击顶峰。病毒通过网络连接和网络流量传播，利用了Windows 2000/XP的一个弱点进行攻击，被激活以后，它会向计算机用户展示一个恶意对话框，提示系统将关闭。在病毒的可执行文件MSBLAST.EXE代码中隐藏着这些信息：“桑(San)，我只想说爱你！”以及“比尔?盖茨(Bill Gates)你为什么让这种事情发生？别再敛财了，修补你的软件吧！”

病毒还包含了可于4月15日向Windows升级网站(Windowsupdate.com)发起分布式DoS攻击的代码。但那时，“冲击波”造成的损害已经过了高峰期，基本上得到了控制。

霸王虫(Sobig.F)

损失估计：50亿~100亿美元，超过100万台计算机被感染.。

“冲击波”一走，“霸王虫”蠕虫便接踵而至，对企业和家庭计算机用户而言，2003年8月可谓悲惨的一月。最具破坏力的变种是Sobig.F，它8月 19日开始迅速传播，在最初的24小时之内，自身复制了100万次，创下了历史纪录(后来被Mydoom病毒打破)。病毒伪装在文件名看似无害的邮件附件之中。被激活之后，这个蠕虫便向用户的本地文件类型中发现的电子邮件地址传播自身。最终结果是造成互联网流量激增。

2003年9月10日，病毒禁用了自身，从此不再成为威胁。为得到线索，找出Sobig.F病毒的始作俑者，微软宣布悬赏25万美元，但至今为止，这个作恶者也没有被抓到。

Bagle

损失估计：数千万美元，并在不断增加

Bagle是一个经典而复杂的蠕虫病毒，2004年1月18日首次露面。这个恶意代码采取传统的机制——电子邮件附件感染用户系统，然后彻查视窗(Windows)文件，寻找到电子邮件地址发送以复制自身。

Bagle(又称Beagle)及其60~100个变种的真正危险在于，蠕虫感染了一台计算机之后，便在其TCP端口开启一个后门，远程用户和应用程序利用这个后门得到受感染系统上的数据(包括金融和个人信息在内的任何数据)访问权限。据2005年4月，TechWeb.com的一篇文章称，这种蠕虫 “通常被那帮为了扬名而不惜一切手段的黑客们称为‘通过恶意软件获利运动’的始作俑者”。

Bagle.B变种被设计成在2004年1月28日之后停止传播，但是到目前为止还有大量的其他变种继续困扰用户。

MyDoom

损失估计：在其爆发的高峰期，全球互联网的速度性能下降了10%，网页的下载时间增加了50%。

2004年1月26日几个小时之间，MyDoom通过电子邮件在互联网上以史无前例的速度迅速传播，顷刻之间全球都能感受到它所带来的冲击波。它还有一个名称叫做Norvarg，它传播自身的方式极为迂回曲折：它把自己伪装成一封包含错误信息“邮件处理失败”、看似电子邮件错误信息邮件的附件，单击这个附件，它就被传播到了地址簿中的其他地址。MyDoom还试图通过P2P软件Kazaa用户网络账户的共享文件夹来进行传播。

这个复制进程相当成功，计算机安全专家估计，在受到感染的最初一个小时，每十封电子邮件就有一封携带病毒。MyDoom病毒程序自身设计成2004年2月12日以后停止传播。

震荡波(Sasser)

损失估计：数千万美元

“震荡波”自2004年8月30日起开始传播，其破坏能力之大令法国一些新闻机构不得不关闭了卫星通讯。它还导致德尔塔航空公司(Delta)取消了数个航班，全球范围内的许多公司不得不关闭了系统。

与先前多数病毒不同的是，“震荡波”的传播并非通过电子邮件，也不需要用户的交互动作。

“震荡波”病毒是利用了未升级的Windows 2000/XP系统的一个安全漏洞。一旦成功复制，蠕虫便主动扫描其他未受保护的系统并将自身传播到那里。受感染的系统会不断发生崩溃和不稳定的情况。

“震荡波”是德国一名17岁的高中生编写的，他在18岁生日那天释放了这个病毒。由于编写这些代码的时候他还是个未成年人，德国一家法庭认定他从事计算机破坏活动，仅判了缓刑。

http://news.csdn.net/n/20061020/96477.html

有谁知道是因为计算机病毒引起的造成严重后果的事件案例

“MSN性感鸡”，网络提前遭遇“禽流感”

2005年，禽流感席卷全球，让人闻鸡色变。而网络上的“禽流感”更是早于现实，从2月3日开始，席卷全球互联网。

2月3日上午，金山、瑞星、江民等国内多家安全软件厂家，接到大量MSN用户中毒信息，一个名为“MSN性感鸡”的病毒迅速在互联网上疯狂传播。msn用户感染后会向所有好友发送病毒文件。MSN性感鸡除了利用MSN向外界发送病毒文件、消耗系统资源外，还会在中毒电脑里放置后门程序，使黑客可以远程控制该电脑，从而使用户面临极大的安全威胁。

在相对平静的2005年网络环境中，“MSN性感鸡”造成危害最严重的一个病毒。随着各大门户网站的即时通讯工具的推出，以及金山加加、盛大圈圈等的加入，病毒制造者利用IM（即时通讯工具）做为传播，已经成为了病毒传播的首选方式。金山毒霸反病毒服务中心整个2005年接到的感染报告中，通过IM工具传播的病毒高达270万次，排在所有病毒之首。这也使的国内IM厂家高度重视，腾讯推出的QQ2005，就在业界率先与杀毒厂商合作，与金山公司合作推出了国际首创的“QQ安全中心”。

金融机构成为网络钓鱼最青睐对象

2005年，美国超过300万的信用卡用户资料外斜，导致用户财产损失，同时，中国工商银行、中国银行等金融机构先后成为黑客们模仿的对象，设计了类似的网页，通过网络钓鱼的形式获取利益。这一现象在2005年以平均每个月73％的数字增长，使很多用户对于网络交易的信心大减。导致年底各家银行对于网络交易安全提高重视。

针这些对愈演愈烈的网上银行诈骗事件，中国人民银行于10月30日向社会公布《电子支付指引(第一号)》，对银行从事电子支付活动提出了指导性要求，对银行针对不同客户在电子支付类型、单笔支付金额和每日累计支付金额等方面作出合理限制。

各杀毒厂家纷纷披露主动防御计划反病毒欲改被动劣势

5月，业界一条以“网络安全惊曝黑幕”为题的报道，在原本还算平静的网络安全行业搅起千层巨浪。这篇报道毫不客气地将杀毒软件比做“过期药”，更将信息安全厂商们斥之为贩卖“过期药”的贩子。随后，国内著名信息安全厂商金山公司对外宣布，其杀毒软件“主动防御(ADP)”业已完成第二层(网络自防御)计划，并且证实该计划已经应用到当天发布的金山毒霸2005中小企业版当中。至此，包括金山、瑞星在内的国内主流信息安全厂商均做出高调反应，表明中国的信息安全厂商正试图扭转在与病毒竞争中长期被动的局面。

“主动防御”更像是一个贴身的保镖，勤勤恳恳、认认真真的监视着周围的可疑人物，让危险总能在最后一刻之前化解。“主动防御”以事实为依据，掌握用户计算机真实的安全状况，在用户还没有意识到之前，能给予用户更多的提示与建议，帮助用户构筑专家级水准的计算机安全防线。它是传统杀毒软件的超集，虽然它也需要传统方法的补充，但它的理念已经超越了单纯的杀毒，而是全面保护用户计算机的安全。它是安全软件未来的发展方向。

流氓软件引起公愤，人人喊打

6月21日，北京市网络行业协会联合新浪、搜狐、金山、瑞星等16家网络和软件企业联合起草了《软件产品行为安全自律公约》，联合承诺共同防范“流氓软件”带给网民的麻烦。随后，在北京市网络行业协会的网站上，接受网民的投诉，引起众多网民的关注与投诉。7月11日，网络行业协会根据网民的投诉，点名公布了10家流氓软件名单，包括了3721、淘宝、e趣、DUDU等家加知名软件。

2005年，间谍软件已经大面积闯入了我们的网络生活中。间谍软件从以前单一的收集用户信息和盗取有价账号等方式扩展到恶意广告。恶意广告的典型特征为：悄悄安装；不易卸载；保护自己使用低层技术与多种软件冲突；随时随地弹出骚扰广告。而目前在国内用户被侵扰最多的间谍软件就是恶意广告和盗号木马。90％以上的网民都直间或间接的受到此类间谍软件的侵扰。

狙击波，与时间赛跑的病毒

8月15日，金山公司率先截获了被称为历史上最快利用微软漏洞攻击电脑的病毒“狙击波”，危害程度直指当年的震荡波。在随后的24小时内，变种迅速，出现多个变种，给相对平静的2005年网络环境，带来阵阵涟漪。该病毒源自欧洲芬兰，之后在欧洲迅速流传。其中在美国蔓延，美国国会、美国有线电视台(CNN)、美国广播公司(ABC)、纽约时报等重要企业和政府机构遭受此次蠕虫狂潮的袭击，并造成部分网络瘫痪。在国内，华南地区尤其是广州地区的个人及企业用户中毒的较多。

名人、热点新闻成为病毒载体

2005年8月30日，被全国关注的“超级女声”总决赛进行之际，一个借着“超级女声”的名气传播的QQ病毒现身网络，盗窃用户的信息。“超级女声”也成为了2005年带毒的明星、热点事件最为突出的事件，其前后，包括：拉登、羽泉、周杰伦、禽流感、伦敦地铁爆炸等等，也成为了一个特别的现象。每当网上出现热点新闻或者热点人物的时候，各病毒监测中心的精神也都高度集中，不知道下一个遭毒手的会是哪一个？

1月10日，国内计算机反病毒厂商江民科技反病毒中心对2006年网络安全事件进行了回顾，根据事件影响力和媒体关注度，排出了2006年十大互联网计算机病毒事件。

一、微软WMF漏洞被黑客广泛利用，多家网站被挂马

2006年春节前后，早在去年12月份就被曝光的WMF漏洞成2006年电脑安全第一场噩梦。 2006年12月28日，江民反病毒中心监测到，Windows在处理特殊WMF文件(也就是图元文件)时存在问题，可以导致远程代码执行，如果用户使用Windows图片传真查看程序打开恶意WMF文件，甚至在资源管理器中预览恶意WMF时，也都存在代码执行漏洞。虽然1月6日微软发布了安全补丁，然而，在1月底，针对该漏洞的木马病毒已经在我国互联网上呈蔓延之势。1月26日，江民反病毒研究中心已发现数家网站被种植此类木马病毒，与此同时，网上众多网站都在公开售卖WMF木马生成器，没有安装杀毒软件的电脑用户点击其中任意链接即中毒。2月初，WMF木马传播变本加励，发展到通过搜索引擎贴吧、MSN疯狂传播，后来在反病毒厂商的围剿下，WMF木马才渐渐郾旗息鼓。

二、敲诈者

2006年6月11日，国内首例旨在敲诈被感染用户钱财的木马病毒被江民公司反病毒中心率先截获。该病毒名为“敲诈者”(Trojan/Agent.bq)，病毒可恶意隐藏用户文档，并借修复数据之名向用户索取钱财。“敲诈者”在被截获后短短10天内，导致全国数千人中招，许多个人和单位受到重大损失。一名为大叔的网民由于中了敲诈者，合同文本被病毒隐藏，使得本来到手的订单丢失，该网民出于愤怒地在网上发帖称在悬赏十万元网上通辑一名为“俊曦”的病毒作者。虽然病毒作者声称编写病毒只是为了“混口饭吃”，但由于他触犯了法律，最终也未能逃脱法律的惩罚，7月24日，广州警方宣布破案这一国内首例敲诈病毒案，作者被警方刑事拘留，等待他将是法律的严惩。

三、病毒假冒工行电子银行升级

2006年6月27日，网友举报，他在登陆工行网上个人银行时，系统突然弹出电子银行系统正在升级并要求修改密码的提示，于是他按要求再次输入登陆和支付密码，然而当点击“确定”后，电脑中的“江民密保”突然发出“不明程序向外发送密码”的警示，于是他紧急与工行联系，才发现工行根本就没有升级电子银行系统，他怀疑是感染了电脑病毒，并庆幸自己发现的及时，要不账户中的存款就易手他人了。

江民反病毒工程师分析后认为，这是病毒假冒工行电子银行升级通知，目的在于盗取工行用户的帐号密码，联想到今年工行网银用户集体维权事件，不禁令人对网上银行的安全性再生疑惑。

四、魔鬼波病毒爆发

2006年8月13日，江民公司反病毒中心发布紧急病毒警报，一利用微软5天前刚刚发布的MS06-040漏洞传播的“魔鬼波”（Backdoor/Mocbot.b）蠕虫现身互联网，感染该蠕虫的计算机将被黑客远程完全控制。微软在8月8日例行发布的MS06-040安全公告中称，其操作系统Server服务漏洞可能允许远程执行代码，并建议电脑用户立即升级。

似乎已经成为一种规律，每年都会出现一个攻击微软新漏洞的“某某波”，03年的“冲击波”，04年的“震荡波”，05年的“极速波”，今年的“魔鬼波”，真可谓“一波未平，一波又起”。

五、光大证券网站多款软件被捆绑木马

2006年8月25日，江民科技反病毒中心监测到，光大证券阳光网（http://www.ebscn.com）站点上提供的“光大证券新版网上交易系统”、“光大证券专业分析版2003”、“光大证券金典2005”等多款软件的安装程序捆绑了木马。用户运行这些安装程序的同时，会下载网银木马，威胁用户工商银行网上银行的帐号密码安全。江民反病毒专家分析，根据光大证券HTTP服务器返回的信息，这些恶意安装程序是2006年8月18日上线的，至今已经带毒运行了一周左右，估计已经有不少网上证券系统的用户感染了该病毒。专家分析，很有可能是光大证券的服务器遭受了黑客入侵导致。

按理说，银行、证券网站的安全性应该是很有保障的，而且网站服务器还装了一款所谓国际品牌的杀毒软件，怎么就会轻易被黑客攻陷并还种了木马呢？是网管员太无能还是国外杀毒软件太弱智？

六、威金病毒大闹互联网

10月中上旬，江民反病毒中心监测到，“威金”病毒(Worm/Viking)的多个新变种在互联网上活动较为频繁，已有多家企业用户报告感染了该病毒并导致整个局域网受到不同程度的破坏。据江民全国病毒疫情监控系统数据显示，该病毒从2005年5月19日首次出现至今，保守估计感染电脑数近50万台，变种数量突破了500种，实在可以称为是2006年病毒之王。

七、建行云南网站遭假冒

2006年11月2日，江民公司反病毒中心监测到，一个恶意网站假冒中国建设银行云南分行网站，传播“QQ大盗”和武林外传游戏木马。

假网站调用多个恶意脚本，下载并自动运行“QQ大盗”木马和“武林外传”两个木马，这两个木马会对用户的QQ号和武林外传游戏帐号构成很大威胁，并会尝试关闭多款国内外知名杀毒软件。

一般来说病毒盗个QQ号什么的不算大事，可你要是看了这条新闻就不会这么认为了。12月15日，深圳晶报报道，一伙平均年龄仅21岁的“网络大盗”一年内盗取QQ号、Q币数百万个，通过网络交易平台售卖，非法牟利70余万元，涉案人员竟有44名。原来小小的QQ号也存在这么大的利润可图，犯罪份子就是抓住网民这种认为QQ号价值不大不值得追究的心理，最终造成了一个大案。

八、银联网站被黑成悬案

11月22日，反病毒厂商称某金融官方网站首页被黑客嵌入恶意程序，用户点击网站首页后，系统即可自动下载一后门程序，中毒用户电脑存在被黑客偷窥的风险。反病毒工程师介绍，该后门程序名为黑洞2005，是一个江民一年前就已经截获并大范围发布预警的老病毒。该病毒具有强大的穿透防火墙能力，可以禁止防火墙并开启染毒电脑的摄像头，进行远程监控、远程摄像等操作。病毒还会将自身添加为“服务”，达到开机自动启动的目的，隐蔽性很强。

但这条消息被某金融网站否定，究竟谁是谁非，由于时过境迁，事实无法重现，唯有提醒电脑用户以后上网时一定要穿好防毒衣（打开杀毒软件网页监控），防患于未然。

九、“瑞波”危害超过“魔鬼波”？

8月24日，江民科技反病毒中心发布紧急病毒警报，自上周“魔鬼波”病毒肆虐互联网以来，江民公司反病毒中心监测到，“瑞波”（Backdoor/RBot）蠕虫新变种正在利用微软的MS06-040等多种系统漏洞大肆传播，目前已发现国内大量用户被病毒感染，中毒用户的系统可被黑客远程完全控制。仅8月23日一天，有3个“瑞波”新变种的泛滥程度都超过了“魔鬼波”（Backdoor/Mocbot）蠕虫。

十、天涯虚拟社区网站首页带毒

2006年11月22日，江民公司反病毒公司监测到，天涯虚拟社区网站首页带毒。如果用户没有安装过微软的MS06-014安全补丁，在使用IE浏览器访问该网页时，就会感染木马程序Trojan/Hitpop。该木马会在后台点击某些网页，制造虚假流量，并会关闭多款杀毒软件和防火墙。

23日，天涯首页上的恶意代码已经被删除。江民公司提醒广大网民，特别是天涯社区用户，请立即更新杀毒软件的病毒库，对您的系统进行全面扫描

关于木马的问题..

这个要看木马的功能了。

有的木马是通过按键记录来进行密码识别的，这样屏幕键盘输入的就不会被盗。

但是有的木马，就我所知道的灰鸽子就是，有抓取屏幕的功能，所以有可能还是会看到。

至于像360保险箱这类软件原理就是在你输入密码之前先查查是不是有木马存在。

而像HTTPS协议是保证了数据在网络传输中是密文，密码不会因为抓包而得到，但是不能保证被本地的木马程序记录。

至于像卡巴斯基的安全桌面这些利用的原理是创造虚拟环境平台，但是保证的是在虚拟环境运行病毒不会造成真正影响对于木马盗号来说还是要求把木马删除才行。

所以要是用比较重要的帐号，不管是游戏帐号也好还是网银帐号，在不保证所用计算机安全的情况下还是要采取些措施。

游戏帐号最好是用密保卡，每次输入坐标不同，所以偶尔在不安全的计算机上登录没什么影响。

银行帐号最好用证书，像K宝、U盾这些。

最终的结果就是不能保证密码绝对不被盗。

蠕虫和木马的概念、表现及如何破坏？

什么是木马?

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

什么是病毒？

病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。

病毒 (n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

什么是蠕虫？

与病毒相似，蠕虫也是设计用来将自己从一台计算机复制到另一台计算机，但是它自动进行。首先，它控制计算机上可以传输文件或信息的功能。一旦您的系统感染蠕虫，蠕虫即可独自传播。最危险的是，蠕虫可大量复制。例如，蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本，那些联系人的计算机也将执行同样的操作，结果造成多米诺效应（网络通信负担沉重），使商业网络和整个 Internet 的速度减慢。当新的蠕虫爆发时，它们传播的速度非常快。它们堵塞网络并可能导致您（以及其他每个人）等很长的时间才能查看 Internet 上的网页。

蠕虫 (n.)：病毒的子类。通常，蠕虫传播无需用户操作，并可通过网络分发它自己的完整副本（可能有改动）。蠕虫会消耗内存或网络带宽，从而可能导致计算机崩溃。

蠕虫的传播不必通过“宿主”程序或文件，因此可潜入您的系统并允许其他人远程控制您的计算机。最近的蠕虫示例包括 Sasser 蠕虫和 Blaster 蠕虫。

什么是特洛伊木马？

在神话传说中，特洛伊木马表面上是“礼物”，但实际上藏匿了袭击特洛伊城的希腊士兵。现在，特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。最近的特洛伊木马以电子邮件的形式出现，电子邮件包含的附件声称是 Microsoft 安全更新程序，但实际上是一些试图禁用防病毒软件和防火墙软件的病毒。

特洛伊木马 (n.)：一种表面上有用、实际上起破坏作用的计算机程序。

一旦用户禁不起诱惑打开了以为来自合法来源的程序，特洛伊木马便趁机传播。为了更好地保护用户，Microsoft 常通过电子邮件发出安全公告，但这些邮件从不包含附件。在用电子邮件将安全警报发送给客户之前，我们也会在安全网站上公布所有安全警报。

特洛伊木马也可能包含在免费下载软件中。切勿从不信任的来源下载软件。始终从 Microsoft Update 或 Microsoft Office Update 下载 Microsoft 更新程序或修补程序。

蠕虫和其他病毒如何传播？

实际上，所有病毒和许多蠕虫是无法传播的，除非您打开或运行了受感染的程序。

很多最危险的病毒主要通过电子邮件附件（随电子邮件一起发送的文件）传播。通常，可判断电子邮件是否包含附件，因为您将看到表示附件且包括附件名称的回形针图标。有些文件格式（例如，图片、用 Microsoft Word 写的信件或 Excel 电子表格）可能是每天都要通过电子邮件接收的。当打开受感染的文件附件（通常是双击附件图标以打开附件）时，就会启动病毒。

提示：切勿打开附加在电子邮件中的任何内容，除非附件是您期望的文件且您清楚该文件的内容。

如果收到陌生人发来的带附件的邮件，请立即删除它。不幸的是，有时打开来自熟人的附件也可能不安全。病毒和蠕虫都能从电子邮件程序中窃取信息，然后将自已发送给地址簿中的所有联系人。因此，如果某人发来一封电子邮件，但其中的消息您并不了解，或其中的附件不是您期望的文件，请一定先与发件人联系并确认附件内容，然后再打开文件。

另一些病毒可能通过从 Internet 下载的程序进行传播，或通过从朋友那里借来的或甚至是从商店买来的带病毒计算机磁盘进行传播。这些属于比较少见的病毒感染方式。大多数人是因为打开和运行不认识的电子邮件附件感染病毒。

如何判断你的电脑是否含病毒资料

电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的，网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。

症状病毒的入侵的可能性软、硬件故障的可能性

经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。

系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。

文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。

经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。

提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制，因查看的是整个网络盘的大小，其实"私人盘"上容量已用完了。

软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。

出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。

启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等

数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。

键盘或鼠标无端地锁死：病毒作怪，特别要留意"木马"；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

什么是木马病毒的区别

你好：很高兴为您解答！随着互联网的日益流行，各种病毒木马也猖厥起来，几乎每天都有新的病毒产生，大肆传播破坏，给广大互联网用户造成了极大的危害，几乎到了令人谈毒色变的地步。各种病毒，蠕虫，木马纷至沓来，令人防不胜防，苦恼无比。那么，究竟什么是病毒，蠕虫，木马，它们之间又有什么区别?相信大多数人对这个问题并没有一个清晰的了解，在这里，我们就来简单讲讲。病毒、蠕虫和特洛伊木马是可导致您的计算机和计算机上的信息损坏的恶意程序。它们可能使你的网络和操作系统变慢，危害严重时甚至会完全破坏您的系统，并且，它们还可能使用您的计算机将它们自己传播给您的朋友、家人、同事以及 Web 的其他地方，在更大范围内造成危害。这三种东西都是人为编制出的恶意代码，都会对用户照成危害，人们往往将它们统称作病毒，但其实这种称法并不准确，它们之间虽然有着共性，但也有着很大的差别。什么是病毒? 计算机病毒(Computer Virus),根据《中华人民共和国计算机信息系统安全保护条例》，病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒必须满足两个条件: 1、它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。 2、它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。此外，病毒往往还具有很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性等，由于计算机所具有的这些特点与生物学上的病毒有相似之处，因些人们才将这种恶意程序代码称之为“计算机病毒”。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在。即使是这些良性病毒也会给计算机用户带来问题。通常它们会占据合法程序使用的计算机内存。结果，会引起操作异常，甚至导致系统崩溃。另外，许多病毒包含大量错误，这些错误可能导致系统崩溃和数据丢失。令人欣慰的是，在没有人员操作的情况下，一般的病毒不会自我传播，必须通过某个人共享文件或者发送电子邮件等方式才能将它一起移动。典型的病毒有黑色星期五病毒等。什么是蠕虫? 蠕虫(worm)也可以算是病毒中的一种，但是它与普通病毒之间有着很大的区别。一般认为:蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合，等等。普通病毒需要传播受感染的驻留文件来进行复制，而蠕虫不使用驻留文件即可在系统之间进行自我复制，普通病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。它能控制计算机上可以传输文件或信息的功能，一旦您的系统感染蠕虫，蠕虫即可自行传播，将自己从一台计算机复制到另一台计算机，更危险的是，它还可大量复制。因而在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等，都成为蠕虫传播的良好途径，蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。此外，蠕虫会消耗内存或网络带宽，从而可能导致计算机崩溃。而且它的传播不必通过“宿主”程序或文件，因此可潜入您的系统并允许其他人远程控制您的计算机，这也使它的危害远较普通病毒为大。典型的蠕虫病毒有尼姆达、震荡波等。什么是木马? 木马(Trojan Horse)，是从希腊神话里面的“特洛伊木马”得名的,希腊人在一只假装人祭礼的巨大木马中藏匿了许多希腊士兵并引诱特洛伊人将它运进城内，等到夜里马腹内士兵与城外士兵里应外合，一举攻破了特洛伊城。而现在所谓的特洛伊木马正是指那些表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。它是具有欺骗性的文件(宣称是良性的，但事实上是恶意的)，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，也难以确定其具体位置;所谓非授权性是指一旦控制端与服务端连接后，控制端将窃取到服务端的很多操作权限，如修改文件，修改注册表，控制鼠标，键盘，窃取信息等等。一旦中了木马，你的系统可能就会门户大开，毫无秘密可言。特洛伊木马与病毒的重大区别是特洛伊木马不具传染性，它并不能像病毒那样复制自身，也并不"刻意"地去感染其他文件，它主要通过将自身伪装起来，吸引用户下载执行。特洛伊木马中包含能够在触发时导致数据丢失甚至被窃的恶意代码，要使特洛伊木马传播，必须在计算机上有效地启用这些程序，例如打开电子邮件附件或者将木马捆绑在软件中放到网络吸引人下载执行等。现在的木马一般主要以窃取用户相关信息为主要目的，相对病毒而言，我们可以简单地说，病毒破坏你的信息，而木马窃取你的信息。典型的特洛伊木马有灰鸽子、网银大盗等。从上面这些内容中我们可以知道，实际上，普通病毒和部分种类的蠕虫还有所有的木马是无法自我传播的。感染病毒和木马的常见方式，一是运行了被感染有病毒木马的程序，一是浏览网页、邮件时被利用浏览器漏洞，病毒木马自动下载运行了，这基本上是目前最常见的两种感染方式了。因而要预防病毒木马，我们首先要提高警惕，不要轻易打开来历不明的可疑的文件、网站、邮件等，并且要及时为系统打上补丁，最后安装上防火墙还有一个可靠的杀毒软件并及时升级病毒库。如果做好了以上几点，基本上可以杜绝绝大多数的病毒木马。最后，值得注意的是，不能过多依赖杀毒软件，因为病毒总是出现在杀毒软件升级之前的，靠杀毒软件来防范病毒，本身就处于被动的地位，我们要想有一个安全的网络安全环境，根本上还是要首先提高自己的网络安全意识，对病毒做到预防为主，查杀为辅如果我的回答对您有帮助望采纳！！！

“木马屠城”是什么意思

就是你的电脑被人用非法软件侵入了！这个时候一般要使用杀毒软件或清理，重装系统（当然要十分严重时才用了）

这时最好不要进入一些带帐号，密码的游戏，邮箱程序等，以免别不法分子盗取个人信息（特别是一些网上银行，在线支付现金的一些活动和服务）

最好的预防方式是装上一些正规的杀毒软件

具体点什么是木马呢?

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

从木马的发展来看，基本上可以分为两个阶段。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

DLL 木马揭秘

相信经常玩木马的朋友们都会知道一些木马的特性，也会有自己最喜爱的木马，不过，很多朋友依然不知道近年兴起的“DLL木马”为何物。什么是“DLL木马”呢？它与一般的木马有什么不同？

一、从DLL技术说起

要了解DLL木马，就必须知道这个“DLL”是什么意思，所以，让我们追溯到几年前，DOS系统大行其道的日子里。在那时候，写程序是一件繁琐的事情，因为每个程序的代码都是独立的，有时候为了实现一个功能，就要为此写很多代码，后来随着编程技术发展，程序员们把很多常用的代码集合（通用代码）放进一个独立的文件里，并把这个文件称为“库”（Library），在写程序的时候，把这个库文件加入编译器，就能使用这个库包含的所有功能而不必自己再去写一大堆代码，这个技术被称为“静态链接”（Static Link）。静态链接技术让劳累的程序员松了口气，一切似乎都很美好。可是事实证明，美好的事物不会存在太久，因为静态链接就像一个粗鲁的推销员，不管你想不想要宣传单，他都全部塞到你的手上来。写一个程序只想用到一个库文件包含的某个图形效果，就因为这个，你不得不把这个库文件携带的所有的图形效果都加入程序，留着它们当花瓶摆设，这倒没什么重要，可是这些花瓶却把道路都阻塞了——静态链接技术让最终的程序成了大块头，因为编译器把整个库文件也算进去了。

时代在发展，静态链接技术由于天生的弊端，不能满足程序员的愿望，人们开始寻找一种更好的方法来解决代码重复的难题。后来，Windows系统出现了，时代的分水岭终于出现。Windows系统使用一种新的链接技术，这种被称为“动态链接”（Dynamic Link）的新技术同样也是使用库文件，微软称它们为“动态链接库”——Dynamic Link Library，DLL的名字就是这样来的。动态链接本身和静态链接没什么区别，也是把通用代码写进一些独立文件里，但是在编译方面，微软绕了个圈子，并没有采取把库文件加进程序的方法，而是把库文件做成已经编译好的程序文件，给它们开个交换数据的接口，程序员写程序的时候，一旦要使用某个库文件的一个功能函数，系统就把这个库文件调入内存，连接上这个程序占有的任务进程，然后执行程序要用的功能函数，并把结果返回给程序显示出来，在我们看来，就像是程序自己带有的功能一样。完成需要的功能后，这个DLL停止运行，整个调用过程结束。微软让这些库文件能被多个程序调用，实现了比较完美的共享，程序员无论要写什么程序，只要在代码里加入对相关DLL的调用声明就能使用它的全部功能。最重要的是，DLL绝对不会让你多拿一个花瓶，你要什么它就给你什么，你不要的东西它才不会给你。这样，写出来的程序就不能再携带一大堆垃圾了——绝对不会让你把吃剩的东西带回家，否则罚款，这是自助餐。

DLL技术的诞生，使编写程序变成一件简单的事情，Windows为我们提供了几千个函数接口，足以满足大多数程序员的需要。而且，Windows系统自身就是由几千个DLL文件组成，这些DLL相互扶持，组成了强大的Windows系统。如果Windows使用静态链接技术，它的体积会有多大？我不敢想。

二、应用程序接口API

上面我们对DLL技术做了个大概分析，在里面我提到了“接口”，这又是什么呢？因为DLL不能像静态库文件那样塞进程序里，所以，如何让程序知道实现功能的代码和文件成了问题，微软就为DLL技术做了标准规范，让一个DLL文件像奶酪一样开了许多小洞，每个洞口都注明里面存放的功能的名字，程序只要根据标准规范找到相关洞口就可以取得它要的美味了，这个洞口就是“应用程序接口”（Application Programming Interface），每个DLL带的接口都不相同，尽最大可能的减少了代码的重复。用Steven的一句话：API就是一个工具箱，你根据需要取出螺丝刀、扳手，用完后再把它们放回原处。在Windows里，最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。

3. DLL与木马

DLL是编译好的代码，与一般程序没什么大差别，只是它不能独立运行，需要程序调用。那么，DLL与木马能扯上什么关系呢？如果你学过编程并且写过DLL，就会发现，其实DLL的代码和其他程序几乎没什么两样，仅仅是接口和启动模式不同，只要改动一下代码入口，DLL就变成一个独立的程序了。当然，DLL文件是没有程序逻辑的，这里并不是说DLL=EXE，不过，依然可以把DLL看做缺少了main入口的EXE，DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码，加上一些特殊代码写成DLL文件，导出相关的API，在别人看来，这只是一个普通的DLL，但是这个DLL却携带了完整的木马功能，这就是DLL木马的概念。也许有人会问，既然同样的代码就可以实现木马功能，那么直接做程序就可以，为什么还要多此一举写成DLL呢？这是为了隐藏，因为DLL运行时是直接挂在调用它的程序的进程里的，并不会另外产生进程，所以相对于传统EXE木马来说，它很难被查到。

四、DLL的运行

虽然DLL不能自己运行，可是Windows在加载DLL的时候，需要一个入口函数，就如同EXE的main一样，否则系统无法引用DLL。所以根据编写规范，Windows必须查找并执行DLL里的一个函数DllMain作为加载DLL的依据，这个函数不作为API导出，而是内部函数。DllMain函数使DLL得以保留在内存里，有的DLL里面没有DllMain函数，可是依然能使用，这是因为Windows在找不到DllMain的时候，会从其它运行库中找一个不做任何操作的缺省DllMain函数启动这个DLL使它能被载入，并不是说DLL可以放弃DllMain函数。

五、DLL木马技术分析

到了这里，您也许会想，既然DLL木马有那么多好处，以后写木马都采用DLL方式不就好了吗？话虽然是这么说没错，但是DLL木马并不是一些人想象的那么容易写的。要写一个能用的DLL木马，你需要了解更多知识。

1.木马的主体

千万别把木马模块写得真的像个API库一样，这不是开发WINAPI。DLL木马可以导出几个辅助函数，但是必须有一个过程负责主要执行代码，否则这个DLL只能是一堆零碎API函数，别提工作了。

如果涉及一些通用代码，可以在DLL里写一些内部函数，供自己的代码使用，而不是把所有代码都开放成接口，这样它自己本身都难调用了，更不可能发挥作用。

DLL木马的标准执行入口为DllMain，所以必须在DllMain里写好DLL木马运行的代码，或者指向DLL木马的执行模块。

2.动态嵌入技术

Windows中，每个进程都有自己的私有内存空间，别的进程是不允许对这个私人领地进行操作的，但是，实际上我们仍然可以利用种种方法进入并操作进程的私有内存，这就是动态嵌入，它是将自己的代码嵌入正在运行的进程中的技术。动态嵌入有很多种，最常见的是钩子、API以及远程线程技术，现在的大多数DLL木马都采用远程线程技术把自己挂在一个正常系统进程中。其实动态嵌入并不少见，罗技的MouseWare驱动就挂着每一个系统进程-_-

远程线程技术就是通过在另一个进程中创建远程线程（RemoteThread）的方法进入那个进程的内存地址空间。在DLL木马的范畴里，这个技术也叫做“注入”，当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时，木马就挂上去执行了，没有新进程产生，要想让木马停止惟有让挂接这个木马DLL的进程退出运行。但是，很多时候我们只能束手无策——它和Explorer.exe挂在一起了，你确定要关闭Windows吗？

3.木马的启动

有人也许会迫不及待的说，直接把这个DLL加入系统启动项目不就可以了。答案是NO，前面说过，DLL不能独立运行，所以无法在启动项目里直接启动它。要想让木马跑起来，就需要一个EXE使用动态嵌入技术让DLL搭上其他正常进程的车，让被嵌入的进程调用这个DLL的DllMain函数，激发木马运行，最后启动木马的EXE结束运行，木马启动完毕。

启动DLL木马的EXE是个重要角色，它被称为Loader，如果没有Loader，DLL木马就是破烂一堆，因此，一个算得上成熟的DLL木马会想办法保护它的Loader不会那么容易被毁灭。记得狼狈为奸的故事吗？DLL木马就是爬在狼Loader上的狈。

Loader可以是多种多样的，Windows的rundll32.exe也被一些DLL木马用来做了Loader，这种木马一般不带动态嵌入技术，它直接挂着rundll32进程运行，用rundll32的方法（rundll32.exe [DLL名],[函数] [参数]）像调用API一样去引用这个DLL的启动函数激发木马模块开始执行，即使你杀了rundll32，木马本体还是在的，一个最常见的例子就是3721中文实名，虽然它不是木马。

注册表的AppInit_DLLs键也被一些木马用来启动自己，如求职信病毒。利用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。

有一些更复杂点的DLL木马通过svchost.exe启动，这种DLL木马必须写成NT-Service，入口函数是ServiceMain，一般很少见，但是这种木马的隐蔽性也不错，而且Loader有保障。 4.其它

到这里大家也应该对DLL木马有个了解了，是不是很想写一个？别急，不知道大家想过没有，既然DLL木马这么好，为什么到现在能找到的DLL木马寥寥无几？现在让我来泼冷水，最重要的原因只有一个：由于DLL木马挂着系统进程运行，如果它本身写得不好，例如没有防止运行错误的代码或者没有严格规范用户的输入，DLL就会出错崩溃。别紧张，一般的EXE也是这样完蛋的，但是DLL崩溃会导致它挂着的程序跟着遭殃，别忘记它挂接的是系统进程哦，结局就是……惨不忍睹。所以写一个能公布的DLL木马，在排错检查方面做的工作要比一般的EXE木马多，写得多了自己都烦躁……

六、DLL木马的发现和查杀

经常看看启动项有没有多出莫名其妙的项目，这是Loader的所在，只要杀了狼，狈就不能再狂了。而DLL木马本体比较难发现，需要你有一定编程知识和分析能力，在Loader里查找DLL名称，或者从进程里看多挂接了什么陌生的DLL，可是对新手来说……总之就是比较难啊比较难，所以，最简单的方法：杀毒软件和防火墙（不是万能药，切忌长期服用）。

什么是变相木马??

类似木马的意思

拥有木马的相关功能

网上有所谓的偷窥者其实是一个变相的木马，实际上当你打开偷窥者的时候就会自动登陆到一个服务器，当有2个人同时打开偷窥者，这两个人就会在控制列表里看见对方，也就是说，如果有100个人在使用偷窥者，那99个处你自己外的人都可以访问你的电脑，删除，新建文件等，但相反你也可以控制那99台电脑。

« 2023年7月 »
一	二	三	四	五	六	日
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

黑客技术群

黑客入侵,黑客基地,黑客组织,网站黑客,黑客平台