木马病毒
以下几种类型的病毒为用户经常会遇到的病毒
◇引导型病毒
◇文件型病毒
◇蠕虫病毒
◇宏病毒
◇木马病毒
1.引导型病毒
引导型病毒是一种感染系统引导区的病毒。引导型病毒利用操作系统的引导模块物力位置固定的特点,抢占据该物理位置,获得系统控制权,而将真正的引导区内容转移或替换,待病毒程序执行后,再将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。由于引导型病毒多使用汇编语言编写,所以执行速度很快,用户很难察觉。
传播方式
引导型病毒通常是通过移动存储介质来传播的,用户只要在相互拷贝文件的时候注意一下,就可以减少感染引导型病毒的机会。
感染对象
引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒、BR(引导区)病毒。MBR病毒也称为分区病毒,将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中,典型的病毒有 *** (Stoned)、2708、INT60病毒等。BR 病毒是将病毒寄生在硬盘逻辑0扇或软盘逻辑0扇(即0面0道第1个扇区),典型的病 毒有Brain、小球病毒等。
病毒典型代表——小球病毒
小球病毒是我国发现的之一个计算机病毒,通过使用带有小球病毒的软盘启动计算机,就可以把病毒传染给计算机,再使用该计算机读取没有病毒的软盘,就又会把病毒传染给软盘。小球病毒发作时在屏幕上显示一个小球,呈正弦曲线般跳动,干扰用户的正常使用,可以说算是病毒中比较温和的一个了。
2.文件型病毒
文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序。
传播方式:
当宿主程序运行时,病毒程序首先运行,然后驻留在内存中,再伺机感染其它的可执行程序,达到传播的目的。
感染对象:
扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。
病毒典型代表——CIH
CIH病毒,别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,主要感染Windows95/98下的可执行文件,在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,危害更大的是v1.2版本,此版本只在每年的4月26日发作,又称为切尔诺贝利病毒(前苏联核事故纪念日)。
CIH病毒只在Windows 95/98环境下感染发作,当运行了带毒的程序后,CIH病毒驻留内存,再运行其它.exe文件时,首先在文件中搜索“caves”字符,如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖,造成硬盘数据特别是C盘数据丢失,并破坏部分类型的主板上的Flash BIOS导致计算机无法使用,是一种既破坏软件又破坏硬件的恶性病毒。
3.蠕虫病毒
蠕虫病毒和一般的计算机病毒有着很大的区别,对于它,现在还没有一个成套的理论体系,但是一般认为:蠕虫病毒是一种通过 *** 传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对 *** 造成拒绝服务,以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身,然后在 *** 中传播,严重的占用有限的 *** 资源,最终引起整个 *** 的瘫痪,使用户不能通过 *** 进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此它的危害性是十分巨大的;有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能,更是严重的危害到用户的系统安全。
传播方式:
蠕虫病毒常见的传播方式有2种:
1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷,通过 *** 主动的将自己扩散出去。
2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中,随电子邮件扩散到整个 *** 中,这也是是个人计算机被感染的主要途径。
感染对象:
蠕虫病毒一般不寄生在别的程序中,而多作为一个独立的程序存在,它感染的对象是全 *** 中所有的计算机,并且这种感染是主动进行的,所以总是让人防不胜防。在现今全球 *** 高度发达的情况下,一种蠕虫病毒在几个小时之内蔓延全球并不是什么困难的事情。
病毒典型代表——震荡波
震荡波(Worm.Sasser)病毒仅感染Windows 2000,Windows XP操作系统。病毒发作时,在本地开辟后门,监听TCP 5554端口,做为FTP服务器等待远程控制命令,黑客可以通过这个端口偷窃用户机器的文件和其他信息。同时,病毒开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
4.宏病毒
宏病毒是利用软件所支持的宏命令而编写的具有复制、传染和破坏功能的宏程序,它通常寄存在文档或模板的宏中。宏病毒是一种跨平台的病毒,在Windows, OS/2, Macintosh System等操作系统中均可表现出病毒行为。宏病毒用Word Basic语言编写,Word Basic语言提供了许多系统级底层调用,如使用DOS系统命令, 调用Windows API,调用DDE或DLL等,这些操作均可对系统构成直接威胁,而Word在指令安全性、完整性上检测能力很弱,破坏系统的指令很容易被执行,所以宏病毒的危害性极大。
传播方式:
用户一旦打开感染了宏病毒的文档,包含在其中的宏就会被执行,于是宏病毒就会被激活,转移到了计算机上,并将自身复制到文档或者Normal模板中,从此以后,所有被打开或者关闭的文档都会感染上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
感染对象:
宏病毒是传染数据文件的病毒,仅向WORD,EXCEL和ACCESS编制的文档进行传染,不会传染可执行文件。但是由于Office软件在全球具有广泛的用户,所以宏病毒的传播仍然十分迅速和广泛。
病毒典型代表——新爱虫
新爱虫病毒的传播主要以Word文档为主,该病毒为周期性爆发,激活病毒的条件是计算机日期为“3、6、9、12”月份,并且日期为5号时,此时病毒会改写C盘下的重要系统文件autoexec.bat,把一条删除C盘数据的命令写进去,当用户重新启动计算机时,就会发觉C盘下的所有文件已被删除,受破坏的用户的损失将不可估量。
5.木马病毒
木马病毒的名称来自于希腊神化《木马屠城记》中那只有名的木马,因此又被叫做“特洛伊木马”。完整的木马病毒程序一般由两个部分组成,一个是服务器程序,一个是控制程序,被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马,就如同你的家被人偷偷的装上了后门一样,将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件,做系统管理员才能做的工作(例如格式化磁盘),你的计算机上的所有文件、程序,以及在你使用到的所有帐号、密码都会被别人轻松的窃走。
传播方式:
木马程序通常通过伪装自己的方式进行传播,常见的伪装方式有:
伪装成小程序,通常会起一个很诱人的的名字,例如“FlashGet破解程序”,用户一旦运行这个程序,就中了木马
伪装成网页,网页的链接通常会起一个十分暧昧的名字,诱使用户去点击它,用户一旦点击了这个链接,就中了木马
把自己绑定在正常的程序上面,高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件,一旦用户安装winzip程序,就会不知不觉地把木马种下去
伪装成邮件附件,邮件主题可能会是“好消息”,“你想赚钱吗?”等等,一旦你好奇的打开附件,木马就安置在了你的计算机中
感染对象:
木马程序感染的对象是整台计算机。
病毒典型代表——网银大盗
网银大盗(Trojan/PSW.HidWebmon)是 2004年4月18日被江民反病毒中心率先截获的木马病毒,该木马偷取XX银行个人网上银行的帐号和密码,发送给病毒作者,给成千上万用户的资金安全带来严重威胁;紧接着,又出现了网银大盗的变种病毒,窃取的网上银行帐号和密码的范围从1家直接扩展到数十家,是木马病毒中具有严重危害性的一个。
祝你好运 ^_^
特洛译木马病毒的资料
一、初识特洛伊木马
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,攻击者还可以设置登录服务器的密码、确定通信方式。
服务器向攻击者通知的方式可能是发送一个email,宣告自己当前已成功接管的机器;或者可能是联系某个隐藏的Internet交流通道,广播被侵占机器的IP地址;另外,当特洛伊木马的服务器部分启动之后,它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的特洛伊木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。实际上,只要用一个预先定义好的关键词,就可以让所有被入侵的机器格式化自己的硬盘,或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器,然后针对某一要害主机发起分布式拒绝服务攻击(Denial of Service,即DoS),当受害者觉察到 *** 要被异乎寻常的通信量淹没,试图找出攻击者时,他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户,真正的
二、极度危险的恶意程序攻击者早就溜之大吉。
对于大多数恶意程序,只要把它们删除,危险就算过去,威胁也不再存在,但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样,也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序,例如,经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具,用户所有的磁盘空间几乎都被侵占殆尽,但除此之外,特洛伊木马还有其独一无二的特点——窃取内容,远程控制——这使得它们成为最危险的恶意软件。
首先,特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力,这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射,甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风,特洛伊木马能够窃听谈话内容。如果PC带有摄像头,许多特洛伊木马能够把它打开,捕获视频内容——在恶意代码的世界中,目前还没有比特洛伊木马更威胁用户隐私的,凡是你在PC前所说、所做的一切,都有可能被记录。
一些特洛伊木马带有包嗅探器,它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门,即使木马后来被清除了,攻击者仍可以利用以前留下的后门方便地闯入。
其次,如果一个未经授权的用户掌握了远程控制宿主机器的能力,宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力,而且还能够冒充PC合法用户,例如冒充合法用户发送邮件、修改文档,当然还可以利用被侵占的机器攻击其他机器。二年前,一个家庭用户请我帮忙,要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。交易机构确实在该笔交易中记录了他的PC的IP地址,而且在他的浏览器缓冲区中,我也找到了该笔有争议的交易的痕迹。另外,我还找到了SubSeven(即Backdoor_G)特洛伊木马的迹象。虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关,但可以看出交易发生之时特洛伊木马正处于活动状态。
三、特洛伊木马的类型
常见的特洛伊木马,例如Back Orifice和SubSeven等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器,还能够寻找和窃取密码。攻击者可以配置特洛伊木马监听的端口、运行方式,以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的特洛伊木马还有一定的反侦测能力,能够采取各种方式隐藏自身,加密通信,甚至提供了专业级的API供其它攻击者开发附加的功能。由于功能全面,所以这些特洛伊木马的体积也往往较大,通常达到100 KB至300 KB,相对而言,要把它们安装到用户机器上而不引起任何人注意的难度也较大。
对于功能比较单一的特洛伊木马,攻击者会力图使它保持较小的体积,通常是10 KB到30 KB,以便快速激活而不引起注意。这些木马通常作为键记录器使用,它们把受害用户的每一个键击事件记录下来,保存到某个隐藏的文件,这样攻击者就可以下载文件分析用户的操作了。还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。通常,这些微型的木马只用来窃取难以获得的初始远程控制能力,保障最初入侵行动的安全,以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。
随便找一个Internet搜索网站,搜索一下关键词Remote Access Trojan,很快就可以得到数百种特洛伊木马——种类如此繁多,以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列,每一个字母下有数打甚至一百多个木马。下面我们就来看看两种更流行的特洛伊木马:Back Orifice和SubSeven。
■ Back Orifice
1998年,Cult of the Dead Cow开发了Back Orifice。这个程序很快在特洛伊木马领域出尽风头,它不仅有一个可编程的API,还有许多其他新型的功能,令许多正规的远程控制软件也相形失色。Back Orifice 2000(即BO2K)按照GNU GPL(General Public License)发行,希望能够吸引一批正规用户,以此与老牌的远程控制软件如pcAnywhere展开竞争。
但是,它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数,包括TCP或UDP、端口号、加密类型、秘密激活(在Windows 9x机器上运行得较好,在Windows NT机器上则略逊一筹)、密码、插件等。
Back Orifice的许多特性给人以深刻的印象,例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩,等等。Back Orifice带有一个软件开发工具包(SDK),允许通过插件扩展其功能。
默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用方面而言,Back Orifice对错误的输入命令非常敏感,经验不足的新手可能会使它频繁地崩溃,不过到了经验丰富的老手那里,它又会变得驯服而又强悍。
■ SubSeven
SubSeven可能比Back Orifice还要受欢迎,这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用,还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分SubSeven的客户端命令和服务器配置选项。
SubSeven具有许多令受害者难堪的功能:攻击者可以远程交换鼠标按键,关闭/打开Caps Lock、Num Lock和Scroll Lock,禁用Ctrl+Alt+Del组合键,注销用户,打开和关闭CD-ROM驱动器,关闭和打开监视器,翻转屏幕显示,关闭和重新启动计算机,等等。
SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系,它能够随机地更改服务器端口,并向攻击者通知端口的变化。另外,SubSeven还提供了专用的代码来窃取AOL Instant Messenger(AIM)、ICQ、RAS和屏幕保护程序的密码。
四、检测和清除特洛伊木马
如果一个企业 *** 曾经遭受病毒和Email蠕虫的肆虐,那么这个 *** 很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密,因此对于常规的反病毒软件来说,查找木马要比查找蠕虫和病毒困难得多。另一方面,特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此,检测和清除特洛伊木马是系统管理员的首要任务。
要反击恶意代码,更佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马,并尽可能地使清理过程自动化。许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马,但某些工具的效果令人怀疑,至少不值得完全信任。不过,Agnitum的Tauscan确实称得上顶级的扫描软件,过去几年的成功已经证明了它的效果。
特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口,特别地,如果这个端口正好是特洛伊木马常用的端口,木马入侵的证据就更加肯定了。一旦发现有木马入侵的证据,应当尽快切断该机器的 *** 连接,减少攻击者探测和进一步攻击的机会。打开任务管理器,关闭所有连接到Internet的程序,例如Email程序、IM程序等,从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安全模式,启动到安全模式通常会阻止特洛伊木马装入内存,为检测木马带来困难。
大多数操作系统,当然包括Windows,都带有检测IP *** 状态的Netstat工具,它能够显示出本地机器上所有活动的监听端口(包括UDP和TCP)。打开一个命令行窗口,执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口,注意一下是否存在意外打开的端口(当然,这要求对端口的概念和常用程序所用的端口有一定的了解)。
五、处理遗留问题
检测和清除了特洛伊木马之后,另一个重要的问题浮现了:远程攻击者是否已经窃取了某些敏感信息?危害程度多大?要给出确切的答案很困难,但你可以通过下列问题确定危害程度。首先,特洛伊木马存在多长时间了?文件创建日期不一定值得完全信赖,但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期,如果执行文件的创建日期很早,最近访问日期却很近,那么攻击者利用该木马可能已经有相当长的时间了。
其次,攻击者在入侵机器之后有哪些行动?攻击者访问了机密数据库、发送Email、访问其他远程 *** 或共享目录了吗?攻击者获取管理员权限了吗?仔细检查被入侵的机器寻找线索,例如文件和程序的访问日期是否在用户的办公时间之外?
在安全要求较低的环境中,大多数用户可以在清除特洛伊木马之后恢复正常工作,只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合,更好能够修改一下所有的密码,以及其他比较敏感的信息(例如信用卡号码等)。
在安全性要求较高的场合,任何未知的潜在风险都是不可忍受的,必要时应当调整管理员或 *** 安全的负责人,彻底检测整个 *** ,修改所有密码,在此基础上再执行后继风险分析。对于被入侵的机器,重新进行彻底的格式化和安装。
特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理,在此基础上采取正确的防卫措施,只有这样才能有效减少特洛伊木马带来的危害。
参考资料:http://db.kingsoft.com/muma/mutruth/
最近出现了哪些计算机病毒与木马?
Win32.Loader.bh(Win32病毒装载者)
该病毒是一个感染型病毒,病毒运行后会先感染系统文件kernel32.dll。病毒会在注册表中写入一段病毒代码,当有程序调用到被感染的系统文件时,病毒代码就执行下载功能,从黑/客之前指定地址下载大量木马病毒到用户电脑中窃取数据。
Backdoor.Win32.Gpigeon2008.efl(灰/鸽/子/后/门)
该病毒通过 *** 传播,病毒会偷/窃用户隐私信息,还可能远程控制用户计算机,给用户计算机安全带来极大危害。
Worm.Win32.Downloader.ja(JA蠕虫下载器)
该病毒是一个具有极强攻击力、破坏力、传播力的恶性感染型病毒。病毒运行后会将系统文件替换成病毒文件,并导致电脑无法进入安全模式。病毒会试图关闭360安全卫士、金山毒霸、卡巴斯基、Nod32、Mcafee等安全软件,访问黑客指定地址下载木马病毒到本机运行。病毒会感染exe、rar、html等格式的文件,当用户运行被感染文件后,病毒会再次被激活并重新下载木马。为扩大传播范围,还会通过局域网和U盘的形式进行感染。
手动杀毒需要杀毒者必须是有较高的计算机应用水平,对系统底层比较了解的人。如果您是初学者,更好先不要尝试。如今流行的病毒都能够关闭杀毒软件,因此防止病毒侵入才是最关键的
什么是木马病毒?什么情况下会有木马病毒?怎样处理才是更好?
由于计算机病毒的传播方式多种多样,又通常具有一定的隐蔽性,因此,首先应提高全民对计算机病毒的防范意识,在计算机的使用过程中应注意下几点: (1)尽量不使用盗版或来历不明的软件。 (2)备份硬盘引区和主引导扇区数据,经常对重要的数据进行备份。 (3)养成经常用杀毒软件检查硬盘和每一张外来盘的良好习惯。 (4)杀毒软件应定期升级,一般间隔时间更好不超过一个月。 (5)安装了实时监控防病毒软件,当然这也不是一劳永逸的 *** ,防病毒软件不一定对所有的病毒都有效,而且病毒的更新速度也很快。 (6)随时注意计算机的各种异常现象,一旦发现,应立即用杀毒软件仔细检查。杀毒软件是预防病毒感染的有效工具,应尽量配备多套杀毒软件,因为每个杀毒软件都有各自的特点。 (7)有些病毒的传播途径主要是通过电子邮件,被称为“邮件病毒”。它们一般是通过邮件中“附件”夹带的 *** 进行扩散,你运行了该附件中的病毒程序,就使你的计算机染毒。所以,不要轻易打开陌生人来信中的附件文件。下面的都是完美破解版或免费版的,注意要及时升级杀毒软件的病毒库,更好在安全模式下杀毒,重启电脑时,按住F8就进入电脑的安全模式了瑞星杀毒软件2008版(内附序列号)是基于新一代虚拟机脱壳引擎、采用三层主动防御策略开发的新一代信息安全产品。瑞星个人防火墙 2008 20.23.00附瑞星2008 20.23.40 增量包,简体中文标准版。瑞星升级保姆 2.30e For2007本软件只是躲过ID验证,直接启动瑞星的升级程序,所有病毒库数据都是直接读取瑞星官方的,跟官方一秒不差。。这个软件会被瑞星当病毒查杀,其中原因你自己想想是为什么了瑞星升级宝宝 For瑞星2008 101a可以免ID无限次升级杀毒和防火墙,简体中文绿色免费版 *** 医生 V1.5.6.201.0是腾讯公司发布的针对 *** 帐号密码被盗问题所提供的一款盗号木马查杀工具。卡巴斯基(Kaspersky) KAV 7.0.1.321 MP1.附带可用KEY,麦田守望者汉化特别版卡巴斯基KIS V8.0.0.99 Beta全中文安装、支持中英文切换,麦田守望者汉化版。木马克星2007 build 1230.反黑客杀木马工具,可以查杀8122种国际木马,1053种密码偷窃木马.病毒库更新至 20070111360安全卫士3.7.0.1005(1.0.1.1576).拥有查杀流行木马、清理恶评及系统插件,管理应用软件,系统实时保护,修复系统漏洞等.木马杀客2007 V18.18.34简体中文绿色免费版全新一代的木马杀客,能有效查杀最新流行的 *** 木马、 *** 游戏木马、网页木马等。NOD32国外很权威的防病毒软件评测给了NOD32很高的分数。杀马(Defendio) V4.24.0.920.添加了对大量新威胁的查杀,可快速杀除木马软件,简体中文绿色免费版。USBkill U盘防火墙 V8.5.可强力清除病毒和设备安全移除,简体中文绿色免费版 恶意软件清理助手 V2.77 Build 015用于清理流氓软件,清理引擎已更新至2.65,带广告简体绿色版Auto.exe专杀增强版 V2.10采用自创的查杀分析引擎查杀,简体中文绿色免费版天网防火墙个人版 V3.0.0.1013已附带破解和最新规则数据包,破解版。下载地址: http://mirc.ys168.com/ ╃安全软件区╃-
电脑中木马病毒导致本地连接收不到数据包!
Trojan.Generic :首先建议使用最新的专业杀毒软件和木马专杀工具AVG和卡巴斯基等进行处理,如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况,再试试以下 *** :
1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。
2.如果病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试:
A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试着中止病毒进程并删除。
B.你可以尝试安全模式下(开机后按F8选安全模式)用其他杀毒软件处理,,,,
C.(慎用)使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试着删除病毒进程文件和相应的模块.
3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般 *** :开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中 *** .
4.某些病毒会劫持IE浏览器,导致乱弹网页的状况.建议用金山毒霸的金山反间谍 2006 360安全卫士等修复工具.看浏览器辅助对象BHO是否有可疑项目.有就修复它.
5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件,一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。
开始〉运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效.
手动删除 ***
按照以下步骤即可删除Trojan.Generic病毒。请先先备份您的注册表和系统,并设置一个还原点,防止发生错误。
Trojan.Generic病毒清除之一步:停止运行进程(利用任务管理器停止以下运行进程)
bcmsn.exe
bbsdf.exe
bd *** ss.exe
belly.exe
beird.exe
bbabc835.exe
batura03.exe avupdate.exe
aug.exe
bar.exe
avgcc32.exe
au1g.exe
等等
Trojan.Generic病毒清除第二步:撤消 DLL 的注册
使用 Regsvr32 撤销以下 DLLs 的注册,然后重启:
aig.dll
abc2.dll
a0002875.dll
7_1,0,0,3_mslagent.dll
8_1,0,0,1_mslagent.dll
7_1,0,0,2_mslagent.dll
7_1,0,0,1_mslagent.dll
53n4nojted.dll
65.dll
4b_1,0,1,0_mslagent.dll
4a_1,0,2,6_mslagent.dll
3_1,0,1,4_mslagent.dll
3_1,0,1,3_mslagent.dll
3_1,0,1,1_mslagent.dll
3_1,0,1,0_mslagent.dll
2_mslagent.dll
~dpb1f1.dll
bcnhhaa.dll
bbnnha32.dll
bhcimhjn.dll
_kwuiex.dll
_kwui.dll
Trojan.Generic病毒清除第三步:删除文件
使用资源管理器删除以下文件(如果存在):
#.exe
$temp$.exe
+g-?+_-d.exe
___synmgr.exe
_kwui.dll
123_2.exe
附:目前的杀毒软件更新病毒库后基本都可自行查杀Trojan.Generic病毒其他的不知
病毒木马
services.exe - services - 进程介绍
进程文件: services or services.exe
进程名称: Windows Service Controller
进程类别:其他进程
英文描述:
services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin
中文参考:
services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\ 目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
*** 相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No
这个后门还不错,也有点 *** 吧,共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。即为中毒后,任意一个EXE文件的属性,“应用程序”变成“EXE文件”
当然,清除的 *** 也很简单,不过需要注意步骤:
一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
shell = Explorer.exe 1 修改为shell = Explorer.exe
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
Torjan Program----------C:\WINNT\services.exe删除
3. HKEY_Classes_root\.exe
默认值 winfiles 改为exefile
4.删除以下两个键值:
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的 “rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
9. 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT\winfiles]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%\1.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com
删除以下文件夹:
%windir%\debug
%windir%\system32\NtmsData
一、病毒评估
1. 病毒中文名: SCO炸弹变种N
2. 病毒英文名: Worm.Novarg.N
3. 病毒别名: Worm.Mydoom.m
4. 病毒大小: 28832字节
5. 病毒类型: 蠕虫病毒
6. 病毒危险等级: ★★★★
7. 病毒传播途径: 邮件
8. 病毒依赖系统: Windows 9X/NT/2000/XP
二、病毒的破坏
1. 通过电子邮件传播的蠕虫病毒,感染之后,它会先在用户本地机器上搜索电子邮件地址,向其发送病毒邮件;
2. 利用在本机上搜索到的邮件地址的后缀当关键词,在Google、Yahoo等四个搜索引擎上搜索相关的email地址,发送病毒邮件传播自身。
3. 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。
4. 感染了此病毒的机器,IE浏览器、OE软件和Outlook软件都不能正常使用。
5. 病毒大量向外发送病毒邮件,严重消耗 *** 资源,可能造成局域网堵塞。
三、技术分析
1. 蠕虫病毒,采用Upx压缩。运行后,将自己复制到%WINDOWS%目录下,文件名为:java.exe。释放一个后门病毒在同一目录中,文件名为:services.exe。
2. 在注册表启动项“\CurrentVersion\Run”下加入这两个文件的启动键值:JavaVM和Service,实现病毒的开机自启动。
3. 强行关闭IE浏览器、OE软件和Outlook软件,使其不能正常使用。
4.在本地机器上搜索电子邮件地址:从注册表中读取当前系统当前使用的wab文件名,并在其中搜索email地址;搜索internet临时目录(Local Settings\Temporary Internet Files)中的文件,从中提取电子邮件地址;遍历盘符从C:盘到Z:的所有硬盘,并尝试从以下扩展名文件中提取email地址:.adb ,.asp ,.dbx ,.htm ,.php ,.pl ,.sht ,.tbb ,.txt ,.wab。
5. 当病毒搜索到email地址以后,病毒以“mailto +%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址%”为关键字,利用以下四种搜索引擎进行email地址邮件搜索:search.lycos.com、 search.yahoo.com、www.altavist *** 、www.google.com,利用这种手段,病毒能够搜索到非常多的可用邮件 地址。
6. 病毒邮件的附件名称为:readme ,instruction ,transcript ,mail ,letter ,file ,text ,attachment等,病毒附件扩展名为:cmd ,bat ,com ,exe ,pif ,scr ,zip。
四、病毒解决方案:
1. 进行升级
瑞星公司将于当天进行紧急升级,升级后的软件版本号为16.37.10,该版本的瑞星杀毒软件可以彻底查杀“SCO炸弹变种N”病毒,瑞星杀毒软件标准版和 *** 版的用户可以直接登陆瑞星网站( http://www.rising.com.cn/ )下载升级包进行升级,或者使用瑞星杀毒软件的智能升级功能。
2. 使用专杀工具
鉴于该病毒的特性,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到: http://it.rising.com.cn/service/technology/tool.htm 网址免费下载使用。
3. 使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品是通过手机付费使用的,用户可以登陆 http://online.rising.com.cn/ 使用在线杀毒产品,或者登陆 http://go.rising.com.cn/ 使用下载版产品。
4. 打 *** 求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救 *** :010-82678800来寻求反病毒专家的帮助!
5. 手动清除
(1)结束系统中进程名为:Services.exe和java.exe(在%windows%目录中)
(2)删除系统临时目录中的两个病毒数据文件:MLITGB.LOG和ZINCITE.LOG
(3)删除病毒键立的注册表键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“JavaVM”=%WINDOWS%\java.exe
和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“Services”=%WINDOWS%\Services.exe
注: %WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:
C:\WINDOWS,Win2K下默认为:C:\WINNT
注: %WINDIR%指的是Windows系统的安装目录,在Windows 95/98/ME/XP操作系统下默认为:C:\WINDOWS目录,在WINDOWS2000操作系统下默认为:C:\WINNT目录。
五、安全建议:
1. 建立良好的安全习惯。 例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。 默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。 据统计,有80%的 *** 病毒是通过系统安全漏洞进行传播的,象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。 有许多 *** 病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。 当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。 这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 更好安装专业的杀毒软件进行全面监控。 在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等、遇到问题要上报, 这样才能真正保障计算机的安全。
8. 用户还应该安装个人防火墙软件进行防黑。 由于 *** 的发展,用户电脑面临的黑客攻击问题也越来越严重,许多 *** 病毒都采用了黑客的 *** 来攻击用户电脑,因此,用户还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效地防止 *** 上的黑客攻击。