QQ木马是针对QQ即时聊天工具的盗号木马。病毒运行后会修改注册表增加启动项,破坏QQ医生的运行。然后通过内存读取的方式盗取用户的QQ号和密码,并把密码发送到木马种植者的手上。
行为分析
1.生成文件:
%sys32dir%qqmm.vxd
2.生成CLSID组件
HKEY_CLASSES_ROOTCLSID
HKEY_CLASSES_ROOTCLSID @
HKEY_CLASSES_ROOTCLSIDInProcServer32
HKEY_CLASSES_ROOTCLSIDInProcServer32 @ C:WINDOWSsystem32qqmm.vxd
HKEY_CLASSES_ROOTCLSIDInProcServer32 ThreadingModel Apartment
3.修改注册表,增加启动项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHook s
4.病毒运行后会删除病毒源文件自身.
5.病毒运行后会把vxd文件注入到进程当中.
6.病毒运行后会删除QQ医生的执行文件QQDoctorQQDoctor.exe
7.病毒运行后会登录h ttp://f***h. ch****en.c om/ip/ip.php网站来获得客户机器的IP地址.
8.病毒运行后会通过读取内存的方式截获客户QQ的账号,密码等相关资料.然后把获得的QQ的相关资料发送木马种植者的邮箱.
典型病毒
QQ伪装盗号者
病毒名称(中文):QQ伪装盗号者16 38 40(无空格)病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:163 840影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为
该病毒是针对QQ即时聊天工具的盗号木马。病毒运行后会释放伪装成系统桌面进程的病毒文件,修改注册表增加启动项,然后通过内存读取的方式盗取密码,并把密码发送到木马种植者的手上。
1.生成文件
%sys32dir%explorer.exe
%sys32dir%systemlr.dll
2.生成注册表启动项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun explorer.exe C:WINDOWSsystem32explorer.exe
3.病毒运行后会生成一个病毒文件名的常驻进程.
4.病毒还会把Dll文件注入到explorer.exe和其他的非系统进程当中.
5.病毒会把盗取的密码发送到木马种植者的邮箱中.
通过聊天工具传播QQ盗号木马885 76(无空格)
病毒名称(中文):QQ盗号木马885 76病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:885 76影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
应对策略
QQ木马说到底就是可以窃取你机密的程序,它是捆绑的一种文件~可以窃取你QQ密码和聊天记录.平时不要随意接收 QQ上传来的文件和QQ上其他人打开的网址.尤其是对方在网吧上网时,会自动传来个文件或网站,千万不要打开,除非对方是你熟悉的朋友先问一下是否是他发给你的.如果中了毒就用卡巴斯基杀进安全模式杀。在QQ硬盘里有QQ病毒专杀工具,下载后杀毒就行。
QQ病毒专杀工具
百度可以搜索到,这里提供两个链接,专杀工具QQ木马终极应对策略
通过eXeScope,可以对QQ进行彻底地改造,这样,就可以防止任何本地的木马:因为它们根本不可能知道你在运行QQ,也不知道你在输入密码,从而就不可能窃取到你的QQ密码。
找到QQ可执行档案的位置,将QQ目录拷贝到其他位置,并将其中QQ可执行档案换名,如改为副件qq2000b.exe。这样做的目的是为了防止木马使用第一种判断方法。
使用ExeScope打开QQ的可执行档案,找到要修改的项。
位置在[资源];[对话框];[对话框450],修改QQ登录的标题栏。修改密码域的属性。
这样做会导致密码以明文形式出现在输入框,可能会被别人偷看,不过为了防止木马偷看,你只能这样了。保存设置。现在运行复件 qq2000b.exe看看吧。如果大家都采用这样的防护措施,离QQ木马的消失的日子就不远了。
目录 1. IPS IDS IRS (2) 2.攻击 (3) 3. 80端口 (3) 4. 404 (4) 5. Application Firewall (4) 6. SHELL (5) 8. ISP/ICP (8) 9. IIS (9) 10.SQL注入 (9) 11.XSS攻击 (10) 12.DDOS攻击 (11) .
1.IPS IDS IRS 入侵预防系统(IPS: Intrusion Prevention System)是电脑网路安全设施,是对防病毒软体(Antivirus Programs)和防火墙(Packet Filter, Application Gatew ay)的补充。入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 在ISO/OSI网路层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。 入侵预防系统类型 投入使用的入侵预防系统按其用途进一步可以划分为 (HIPS: Hostbased Intrusion Prevension System) 单机入侵预防系统和 (NIPS: Network Intrusion Prevension System)网路入侵预防系统 网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。 根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。
常见木马病毒清除的方法 来源:互联网 | 2009年09月23日 | [字体:小大] | 网站首页 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan 木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表 “HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序, 如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就是在
超级兔子的功能 系统体检能够及时的发现系统存在的问题,从而提醒用户及时的查看并优化自己的系统。超级兔子是一个完整的系统维护工具,可能清理你大多数的文件、注册表里面的垃圾,同时还有强力的软件卸载功能,专业的卸载可以清理一个软件在电脑内的所有记录。 超级兔子共有8大组件,可以优化、设置系统大多数的选项,打造一个属于自己的Windows。超级兔子上网精灵具有IE修复、IE保护、恶意程序检测及清除工能,还能防止其它人浏览网站,阻挡色情网站,以及端口的过滤。 超级兔子系统检测可以诊断一台电脑系统的CPU、显卡、硬盘的速度,由此检测电脑的稳定性及速度,还有磁盘修复及键盘检测功能。超级兔子进程管理器具有网络、进程、窗口查看方式,同时超级兔子网站提供大多数进程的详细信息,是国内最大的进程库。 超级兔子安全助手可能隐藏磁盘、加密文件,超级兔子系统备份是国内唯一能完整保存Windows XP注册表的软件,彻底解决系统上的问题。 超级兔子魔法设置软件是一个系统设置软件,能够以修改系统注册表等操作来达到大家的要求。完整的超级兔子软件包括以下4个软件:超级兔子魔法设置:常用的Windows设置软件,清晰的分类让你迅速找到相关功能,提供几乎所有Windows的隐藏参数调整。超级兔子注册表优化:维护注册表的工具,经常备份可以保护你的Windows,最神奇的是还有注册表的加速功能。超级兔子终极加速:简单易用的系统加速软件,10秒即可完成Windows的所有设置,并且还能对常用的其它软件进行设置。 超级兔子的魔法软件主要有以下作用: 1. 自动运行:在这里,你可以随意添加或者删除任务栏中自动运行的程序。(但是奉劝各位,还是不要随意改动的好哦,要不然,启动不了可别说是我教的哦!) 2. 删除反安装:里面罗列了所有本地应用软件的目录(比控制面板中添加/删除程序项的内容丰富多了!甚至连在Inerter上查找都有),你可以按你的需要对这些软件进行删除或是运行,需要注意的是,当不能修改命令行被选中时,你是无法修改命令的。和自动运行一样,尽量不要去乱改它! 3. 输入法:你可以按照你的习惯重新排列输入法的顺序(也不要随意地去添加或是删除输入法,以免引起混乱)。 4. 开始菜单:你可以选择禁止显示程序/文档/收藏夹/查找/运行/注销/关闭系统中的任何一项,同时还可以在其中添加回收站/网络邻居/信箱/控制面板/打印机/历史记录/我的公文包等内容,并且你能对这些快捷方式重新命名,比如将我的电脑改为xxx的电脑,嘿,这个很不错吧!但是修改开始菜单的项目名字比较
介绍一下木马病毒的种类 随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。2. 网银木马网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技
术干扰网银登录安全控件的运行。随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。3. 即时通讯软件木马现在,国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种:一、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告,如“武汉男生2005”木马,可以通过MSN、QQ、UC等多种聊天软件发送带毒网址,其主要功能是盗取传奇游戏的帐号和密码。二、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后,可能偷窥聊天记录等隐私内容,或将帐号卖掉。三、传播自身型。2005年初,“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后,MSN推出新版本,禁止用户传送可执行文件。2005年上半年,“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播,感染用户数量极大,在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析,发送文件类的QQ蠕虫是以前发送消息类QQ 木马的进化,采用的基本技术都是搜寻到聊天窗口后,对聊天窗口进行控制,来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。4. 网页点击类木马网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。病毒作
木马攻防的感想 前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
【导读】本文含概了windows几乎所有常见的病毒、木马的进程名程,检查你的系统进程,看看是否中招。 exe → BF Evolution Mbbmanager.exe →聪明基因 _.exe → Tryit Mdm.exe → Doly 1.6-1.7 Aboutagirl.exe →初恋情人 Microsoft.exe →传奇密码使者 Absr.exe → Backdoor.Autoupder Mmc.exe →尼姆达病毒 Aplica32.exe →将死者病毒 Mprdll.exe → Bla Avconsol.exe →将死者病毒 Msabel32.exe → Cain and Abel Avp.exe →将死者病毒 Msblast.exe →冲击波病毒 Avp32.exe →将死者病毒 Mschv.exe → Control Avpcc.exe →将死者病毒 Msgsrv36.exe → Coma Avpm.exe →将死者病毒 Msgsvc.exe →火凤凰 Avserve.exe →震荡波病毒 Msgsvr16.exe → Acid Shiver Bbeagle.exe →恶鹰蠕虫病毒 Msie5.exe → Canasson Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup Cfiadmin.exe →将死者病毒 Mstesk.exe → Doly 1.1-1.5 Cfiaudit.exe →将死者病毒 Netip.exe → Spirit 2000 Beta Cfinet32.exe →将死者病毒 Netspy.exe →网络精灵 Checkdll.exe →网络公牛 Notpa.exe → Backdoor Cmctl32.exe → Back Construction Odbc.exe → Telecommando Command.exe → AOL Trojan Pcfwallicon.exe →将死者病毒 Diagcfg.exe →广外女生 Pcx.exe → Xplorer
常见100种木马排除方法! 1.Acid Battery 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer ="C:\WINDOWS\expiorer.exe" 关闭Regedit 重新启动到MSDOS方式 删除c:\windows\expiorer.exe木马程序 注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。 重新启动。 2.Acid Shiver 重新启动到MSDOS方式 删除C:\windows\MSGSVR16.EXE 然后回到Windows系统 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" 关闭Regedit 重新启动。 3.Ambush 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 删除右边的zka = "zcn32.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:\Windows\ zcn32.exe 重新启动。 4.AOL Trojan 启动到MSDOS方式 删除C:\ command.exe(删除前取消文件的隐含属性) 注意:不要删除真的https://www.wendangku.net/doc/345743385.html,文件。 删除C:\ americ~1.0\buddyl~1.exe(删除前取消文件的隐含属性) 删除C:\ windows\system\norton~1\regist~1.exe(删除前取消文件的隐含属性) 打开WIN.INI文件
如果ping不通,在三层交换机下: Show ip cef 查看三层路由信息是否正确 Shou adjacency detail 查看二层信息是否正确 Show vlan-switch Show vtp status 1? 缺省配置信息 关于Trunk的缺省配置信息下表所示: ???????????? ?Trunk缺省配置信息 内容缺省设置备注最大传输单元(MTU)1500可更改配置硬件类型(hardware)Ethernet不可更改配置MAC地址(address)交换机MAC不可更改设置三层端口(layer3)disable可更改设置策略(policy)srcdstmac-based(基于目的、源MAC地址)可更改配置所属VLAN(VLAN name)Default可更改配置接口管理状态(interface admin state)admin up可更改设置?2? 配置TRUNK端口 配置步骤 步骤1interface trunk < trunkname >从全局配置模式创建一个trunk步骤2grouping
对于给你下木马的人来说,一般不会改变硬盘的盘符图标,但他会修改Autorun.inf文件的属性,将该文件隐藏起来。然后按F5键刷新,这样,当有人双击这个盘符,程序就运行了。 这一招对于经常双击盘符进入“我的电脑”的人最有效。识别这种伪装植入方式的方法是,双击盘符后木马程序会运行,并且我们不能进入盘符。 4把木马文件转换为图片格式 这是一种相对比较新颖的方式,把EXE转化成为BMP图片来欺骗大家。 原理:BMP文件的文件头有54个字节,包括长宽、位数、文件大小、数据区长度。我们只要在EXE的文件头上加上这54字节,IE就会把它当成BMP文件下载下来。改过的图片是花的,会被人看出破绽,用<imgscr=″xxx.bmp″higth=″0″width=″0″>,把这样的标签加到网页里,就看不见图片了,也就无法发现“图片”不对劲。IE 把图片下载到临时目录,我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件,并在注册表添加启动项,利用那个VBS找到BMP,调用debug来还原EXE,最后,运行程序完成木马植入。下一次启动时木马就运行了,无声无息非常隐蔽。 5伪装成应用程序扩展组件 此类属于最难识别的特洛伊木马,也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤。对于正常的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程,虽然所有的操作都在DLL中完成会更加隐蔽,但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程,继续进入休眠状况。 举个具体的例子,黑客们将写好的文件(例如DLL、OCX等)挂在一个十分出名的软件中,例如QQ中。当受害者打开QQ时,这个有问题的文件即会同时执行。此种方式相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开QQ时木马程序就会同步运行,相较一般特洛伊木马可说是“踏雪无痕”。目前,有些木马就是采用的这种内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL 线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在WindowsNT/2000下,都达到了良好的隐藏效果。这样的木马对一般电脑用户来说简直是一个恶梦。防范它的方法就是小心小心再小心! 6利用WinRar制作成自释放文件 这是最新的伪装方法,把木马服务端程序和WinRar捆绑在一起,将其制作成自释放文件,这样做了以后是非常难以检查的,即使是用最新的杀毒软件也无法发现!识别的方法是:对着经过WinRar捆绑的木马文件点击鼠标右键,查看“属性”,在弹出的“属性”对话框中,会发现多出两个标签“档案文件”和“注释”,点选“注释”标签,你就会发现木马文件了。
常见的分类有: (1)按产生后果分为良性病毒和恶性病毒 <1>良性病毒这类病毒只是占用计算机资源或干扰计算机的正常运行,并不破坏系统和数据。常见的有“小球”和“毛虫”病毒等。 <2>恶性病毒该类病毒一旦发作,就会破坏系统或数据,如重新格式化硬盘、删除文件、系统不能启动造成瘫痪等。这种病毒危害性极大,有些病毒发作后将给用户造成不可挽回的损失。学见的有“CIH”、“黑色星期五”、冲击波,以为宏病毒和电子邮件中的常见病毒等。(2)按寄生方式分为引导型、文件型和复合型病毒 <1>引导型病毒又称操作系统型病毒,其病毒隐藏在操作系统的引导区,在系统启动时进入内存,监视系统运行,待机传染和破坏。常见的有“大麻”,“小球”和“火炬”病毒等。 <2>文件型病毒是寄生在文件中的计算机病毒,这种病毒感染可执行文件或数据文件。常见的有“CIH”,“DIR-2”等。影响Word文档(.doc)和Excle工作簿(.xls)进行打开、存储、 关闭和清除等操作的宏病毒也是一种文件型病毒,它目前占全部病毒的80%,是病毒历史上发展最快的病毒。 <3>复合型病毒同时具有引导型和文件型病毒寄生方式的计算机病毒。它既感染磁盘的引导区又感染可执行文件。常见的有“Filp”,“One-half”等病毒. 盗号木马下载器A(Trojan.PSW.Win32.Mapdimp.a)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。 “安德夫木马变种IBP(Trojan.Win32.Undef. ibp)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。 “安德夫木马变种IEX(Trojan.Win32.Undef. iex)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。 据介绍,所谓“Clicker病毒”中文名叫做木马点击器,它们侵入用户电脑后,会根据病毒编写者预先设定的网址,去点击网上的广告,如百度竞价排名、Google AdSense等,让广告主支付更多的广告费,而病毒犯罪团伙及其合作伙伴则会分享这些额外的“利润”。 木马病毒以“木马群”的形式,利用最新的Flash漏洞攻击用户电脑
十大最常见的电脑病毒有哪些 电脑病毒想必大家都有一些了解,但是电脑中毒的时候自己也不知道中的是哪一类型的病毒。为此小编给大家详细介绍一下电脑病毒有哪些?什么电脑病毒最厉害等内容,希望对你有帮助。 十大最常见的电脑病毒十大最常见的电脑病毒1、系统病毒 系统病毒的前缀为:W i n32、P E、W i n95、W32、W95等。这些病毒的一般公有的特性是可以感染W i n d o w s操作系统的 *.e x e和 *.d l l文件,并通过这些文件进行传播。如C I H病毒。 十大最常见的电脑病毒2、蠕虫病毒 蠕虫病毒的前缀是:W o r m。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。 十大最常见的电脑病毒3、木马病毒、黑客病毒 木马病毒其前缀是:T r o j a n,黑客病毒前缀名一般为 H a c k。木马病毒的公有特性是通过网络或者系统漏
洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如Q Q消息尾巴木马 T r o j a n.Q Q3344,还有大家可能遇见比较多的针对网络游戏的木马病毒如T r o j a n.L M i r.P S W.60。这里补充一点,病毒名中有P S W 或者什么P W D之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为密码的英文p a s s w o r d的缩写)一些黑客程序如:网络枭雄(H a c k.N e t h e r.C l i e n t)等。 十大最常见的电脑病毒4、脚本病毒 脚本病毒的前缀是:S c r i p t。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(S c r i p t.R e d l o f)可不是我们的老大代码兄 哦。脚本病毒还会有如下前缀:V B S、J S(表明是何种脚本编写的),如欢乐时光(V B S.H a p p y t i m e)、十四曰 (J s.F o r t n i g h t.c.s)等。 十大最常见的电脑病毒5、宏病毒 其实宏病毒是也是脚本病毒的一种,由于它的特殊
十大常见木马及其查杀方法 经过媒体的大量宣传,大家对木马有了一定的认识,但大多数人对木马还是陌生和恐惧的感觉。其实,木马没有什么可神秘的,只要你能掌握 以下国内最流行十大木马查杀,那么对付其它木马程序就很容易了——你会骄傲的说:木马查杀?Easy!名词解释 木马其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为 服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上 的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。 就我们下面所讲木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。 控制端对服务端进行远程控制的一方 服务端被控制端远程控制的一方 控制端程序控制端用以远程控制服务端的程序 木马程序潜入服务端内部,获取其操作权限的程序 木马端口即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端程序或木马程序 十大常见木马及其查杀方法 冰河 冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在 !作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何 清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在 C:Windowssystem目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文 件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这 就是冰河屡删不止的原因。 清除方法: 1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。 2、冰河会在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows CurrentVersionRun下扎根,键值为C:windowssystemKernel32.exe,删除它。 3、在注册表的HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows CurrentVersionRunservices下,还有键值为C:windowssystemKernel32.exe的,也要删除。 4、最后,改注册表HKEY_CLASSES_ROOT xtfileshellopencommand下的默认值,由中木马后的C:windowssystemSysexplr.exe %1改 为正常情况下的C:windows otepad.exe %1,即可恢复TXT文件关联功能。 广外女生
【安全】常见病毒类型说明及行为分析0点 1、目前杀毒厂商对恶意程序的分类 nbsp; 木马病毒:TROJ_XXXX.XX nbsp; 后门程序:BKDR_XXXX.XX nbsp; 蠕虫病毒:WORM_XXXX.XX nbsp; 间谍软件:TSPY_XXXX.XX nbsp; 广告软件:ADW_XXXX.XX nbsp; 文件型病毒:PE_XXXX.XX nbsp; 引导区病毒:目前世界上仅存的一种引导区病毒 POLYBOOT-B 2、病毒感染的一般方式 病毒感染系统时,感染的过程大致可以分为: 通过某种途径传播,进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能如: 打开后门等待连接 发起DDOS攻击 进行键盘记录 发送带计算机使用记录电子邮件 2.1 常见病毒传播途径 除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。对毒,它们传播、感染系统的方法也有所不同。 nbsp; 计算机病毒传播方式主要有: ü电子邮件 ü网络共享 ü P2P 共享 ü系统漏洞 ü浏览网页 ü移动磁盘传播 ü打开带毒影音文件 2.1.1电子邮件传播方式 nbsp; HTML正文可能被嵌入恶意脚本, nbsp; 邮件附件携带病毒压缩文件 nbsp; 利用社会工程学进行伪装,增大病毒传播机会 nbsp; 快捷传播特性
例:WORM_MYTOB,WORM_STRATION等病毒 2.1.2 网络共享传播方式 nbsp; 病毒会搜索本地网络中存在的共享,包括默认共享 如ADMIN$ ,IPC$,E$ ,D$,C$ nbsp; 通过空口令或弱口令猜测,获得完全访问权限 病毒自带口令猜测列表 nbsp; 将自身复制到网络共享文件夹中 通常以游戏,CDKEY等相关名字命名 例:WORM_SDBOT 等病毒 2.1.3 P2P共享软件传播方式 nbsp; 将自身复制到P2P共享文件夹 通常以游戏,CDKEY等相关名字命名 nbsp; 通过P2P软件共享给网络用户 nbsp; 利用社会工程学进行伪装,诱使用户下载 例:WORM_PEERCOPY.A,灰鸽子等病毒 2.1.4 系统漏洞传播方式 nbsp; 由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏nbsp; 病毒往往利用系统漏洞进入系统,达到传播的目的。 nbsp; 常被利用的漏洞 – RPC-DCOM 缓冲区溢出(MS03-026) – Web DAV (MS03-007) – LSASS (MS04-011) – Internet Explorer 中的漏洞(MS08-078) –服务器服务中允许远程执行代码的漏洞(MS08-067) (Local Security Authority Subsystem Service) 例:WORM_MYTOB 、WORM_SDBOT等病毒 2.1.5 网页感染传播方式 主要是通过恶意脚本 网页感染传播方式是当前网络主要的传播方式,这种传播方式有以下几大优点: 1、代码灵活多变 利用直接的JAVA恶意脚本。 利用
木马的常见四大伪装欺骗行为 1、将木马包装为图像文件 首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用。 只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe)为“类似”图像文件的名称,再假装传送照片给受害者,受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是exe,而木马程序的扩展名基本上又必定是exe,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那有什么方法呢?其实方法很简单,他只要把文件名改变,例如把“sam.exe”更改为“sam.jpg”,那么在传送时,对方只会看见sam.jpg了,而到达对方电脑时,因为windows默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好你的计算机又是设定为隐藏扩展名的话,那么你看到的只是sam.jpg了,受骗也就在所难免了!
还有一个问题就是,木马本身是没有图标的,而在电脑中它会显示一个windows预设的图标,别人一看便会知道了!但入侵者还是有办法的,这就是给文件换个“马甲”,即用IconForge等图标文件修改文件图标,这样木马就被包装成jpg或其他图片格式的木马了,很多人会不经意间执行了它。 2、以Z-file伪装加密程序 Z-file伪装加密软件经过将文件压缩加密之后,再以bmp图像文件格式显示出来(扩展名是bmp,执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据,用以就算计算机被入侵或被非法使使用时,也不容易泄漏你的机密数据所在。不过如果到了黑客手中,却可以变成一个入侵他人的帮凶。使用者会将木马程序和小游戏合并,再用Z-file加密及将此“混合体”发给受害者,由于看上去是图像文件,受害者往往都不以为然,打开后又只是一般的图片,最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马和病毒。当打消了受害者警惕性后,再让他用WinZip解压缩及执行“伪装体(比方说还有一份小礼物要送给他),这样就可以成功地安装了木马程序。如果入侵者有机会
40种常见病毒及处理 1. Trojan.PSW.Win3 2.Mapdimp.a 病毒运行后有以下行为: 1.病毒释放midimap??.dll和midimap??.dat的文件到系统目录(??代表两个随机字母)。 我们可以首先利用Windows的搜索功能在系统目录下搜索名为midimap??.dll的文件(注意:midimap.dll不是病毒,后面必须有两个随机字母且midimap??.dll和midimap??.dat是成对出现的才是病毒) 2.病毒还会修改注册表信息达到开机被自动加载的目的。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E 0-4f0d-0018-708476C7815F} 指向midimap??.dll文件 开始-运行-输入regedit 打开注册表编辑器展开: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 然后在下面查找有无 {4F4F0064-71E0-4f0d-0018-708476C7815F}的子键 如果有展开该子键,此时我们会看到该子键指向了病毒文件%systemroot%\system32\midimap??.dll
如果这时看到的midimap??.dll文件名和刚才搜索到的文件相同,则证明中毒了。图3 3.另外,熟知Process Explorer的朋友亦可用Process Explorer查找explorer.exe的线程里面是否有midimap??.dll 4.病毒运行后会访问黑客指定的网址下载其他木马病毒,盗取网游账号,并将盗取的信息在后台发送给黑客,使网游玩家的利益受损。 手动处理方法: 第一步,删除病毒文件: 使用wsyscheck工具,文件管理,进入系统目录(默认为c:\windows\system32)找到midimap??.dll和midimap??.dat 文件,在文件上面点击右键,选择“发送到重启删除列表中”。 第二步,删除被病毒修改的注册表键值:
一,简介 计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。 计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。 计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。 二,几种常见的病毒 1,木马病毒:指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。木马这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。 (1):特征: 1、隐蔽性是其首要的特征如其它所有的病毒一样,木马也是一种病毒,它必需隐藏 在你的系统之中,它会想尽一切办法不让你发现它。很多人的对木马和远程控制软 件有点分不清,因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远 程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点,举个例子 来说吧,象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧, 大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时,客户端与服务 器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端 在运行的时候应用各种手段隐藏自己,不可能还出现什么提示,这些黑客们早就想 到了方方面面可能发生的迹象,把它们扼杀了。例如大家所熟悉木马修改注册表和 ini文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程 序,而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软 件,叫做exe-binder绑定程式,可以让人在使用绑定的程式时,木马也入侵了系统, 甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定,在你看图 片的时候,木马也侵入了你的系统。它的隐蔽性主要体现在以下两个方面: 不产生图标它虽然在你系统启动时会自动运行,但它不会在“任务栏”中产生一个 图标,这是容易理解的,不然的话,凭你的火眼金睛你一定会发现它的。我们知道 要想在任务栏中隐藏图标,只需要在木马程序开发时把“Form”的“Visible ”属性设置 为“False”、把“ShowintaskBar”属性设置为“Flase”即可; 木马程序自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。 2,它具有自动运行性,它是一个当你系统启动时即自动运行的程序,所以它必需潜 入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件 之中。 3,木马程序具有欺骗性木马程序要达到其长期隐蔽的目的,就必需借助系统中已有 的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如 “dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数 字“1”、字母“o”与数字“0”,常修改基本个